Aujourd’hui, nous vous proposons un billet un peu différent de ce que nous faisons d’habitude. Plus qu’un article ; il s’agit d’un témoignage d’un client, dont nous ne pourrons citer le nom. Il souhaitait se mettre en conformité au Règlement Général sur la Protection des Données (RGPD), car un audit interne avait pointé du doigt des faiblesses dans les processus de traitement des données clients.

Cette personne, que nous appellerons Daniel Pierre-Olivier est le DPO de Banc’Assur, une société d’assurance-crédit française qui collecte, chaque jour des centaines de données personnelles provenant de leurs assurés ou futurs assurés. Le RGPD impose la protection de ces informations sensibles. En cas de manquement, les sanctions prévues par la CNIL peuvent être lourdes (jusqu’à 4% du CA ou 20 millions d’euros). Or, à la suite de cet audit de sécurité, Daniel Pierre-Olivier a découvert que les informations médicales des clients étaient stockées en clair sur des serveurs eux-mêmes peu protégés. Tous les collaborateurs pouvaient y accéder et les consulter sans laisser de traces. C’est à ce moment qu’ils ont décidé de nous contacter.

Vous avez identifié les données que vous souhaitez chiffrer ? Contactez-nous dès maintenant.

Commençons par le commencement : qu’est-ce que le risque de non-conformité ?

Le risque de non-conformité se définit comme le risque de sanction (judiciaire, administrative, disciplinaire ou financière) due à l’absence de respect des dispositions législatives en vigueur. Il est logiquement beaucoup plus élevé dans les secteurs très réglementés.

Banque et assurances, des secteurs particulièrement concernés par ce risque

L’environnement dans lequel évoluent les sociétés financières les oblige à maitriser et respecter un nombre important de réglementations. C’est d’ailleurs dans le cadre du Mécanisme de Surveillance Unique (MSU) que la Banque Centrale Européenne (BCE) a considéré comme prioritaires les contrôles qui visent à apprécier la capacité des établissements bancaires à maitriser les cyber-risques.

Dans le cas de Banc’Assur, Daniel Pierre-Olivier souhaitait donc prévenir un risque de non-conformité au RGPD. Parmi les nombreuses obligations qu’impose le règlement, il demande que des solutions de protections des données personnelles soient mises en place afin de préserver la vie privée des utilisateurs en cas de fuites. Ces solutions conseillées par le RGPD visent surtout à réduire les impacts de ces fuites.

Il s’agit d’un principe élémentaire de risk management : le risque zéro n’existe pas.

Les vecteurs de fuite sont tellement nombreux – menaces externes, menaces internes malveillantes ou par négligence – qu’il serait irresponsable de penser que nous pouvons éviter ad vitam aeternam les fuites données.

Cliquez ici si vous souhaitez en savoir plus sur les différents aspects de votre conformité au RGPD

Comment le chiffrement de Seald aide à prévenir ce risque ?

Lorsque Banc’Assur nous a contactés, elle nous a expliqué que l'enjeu était de protéger des données personnelles et notamment médicales dans un workflow de gestion documentaire existant. Leurs objectifs étaient de chiffrer les documents stockés sur leur serveur, d'en restreindre l'accès au groupe de personnes concernées, d'avoir la capacité d'en révoquer l'accès et enfin d'avoir une piste d'audit permettant de prouver qui a eu accès aux données. Après plusieurs échanges, voici les axes de collaboration que nous avons identifiés :

Chiffrer les fichiers et les emails de bout en bout

Banc’Assur souhaitait intégrer une solution qui leur permettrait de chiffrer les fichiers déjà stockés sur leurs serveurs, mais aussi les données qui circulent à l’intérieur et à l’extérieur de l’entreprise. Un des principaux challenges était d’assurer la sécurité des données avec un chiffrement fort tout en préservant l’agilité des processus mis en place. Grâce à la façon dont nous avons conçu Seald, nous offrons la possibilité de chiffrer automatiquement les données de type pièce jointe. Avec un paramétrage préalable Seald peut identifier la nature de la pièce jointe transmise – comme un fichier CSV contenant des numéros de sécurité sociale – et la chiffrer avant envoi.

Maitriser les droits d’accès aux informations sensibles


Une des demandes formulées par Banc’Assur était d’avoir la capacité de contrôler les droits d’accès à ses données, car les informations médicales collectées sont régulièrement envoyées à des médecins externes à la société. Il y avait donc un double enjeu : Banc’Assur avait besoin d’un outil qui leur permettait de contrôler les droits d’accès à leurs données même après que celles-ci ont quitté l’entreprise ; mais aussi d’une solution qui permettait à des utilisateurs qui n’ont pas Seald d’accéder aux données. Seald propose une fonctionnalité qui permet aux utilisateurs autorisés d'ouvrir les fichiers sans installer Seald. Pour ce faire, le déchiffrement de l’email ou du fichier s’opère dans le navigateur Internet, après une étape d'authentification. Grâce à cette option, Banc’Assur peut envoyer les informations médicales de leurs clients de façon chiffrée en dehors de l’organisation. Les médecins accèdent ainsi aux informations sans avoir besoin d’être clients. Une fois les informations traitées, Daniel Pierre-Olivier peut révoquer les droits d’accès à ces informations et ainsi garder la maitrise sur tout le cycle de vie de la donnée.

Délivrer des pistes d’audit

Lorsqu’il s’agit de données sensibles comme les données médicales, l’entreprise responsable de leur traitement doit garder une trace de toute interaction avec ces données. Banc’Assur souhaitait donc détenir un historique des évènements qui pourrait s’intégrer au registre de traitement des données imposé par le RGPD. Pour répondre à cette requête, Seald a développé un tableau de bord avec 3 fonctionnalités principales :

  1. Un historique de tous les documents chiffrés ;
  2. Un historique de tous les évènements qui ont eu lieu (chiffrement, ouverture, tentative d’ouverture) avec les informations correspondantes (nom d’utilisateur, adresse IP, date …) ;
  3. Une fonctionnalité de révocation par document ou par utilisateur.

Vous aussi vous souhaitez savoir comment Seald peut s’intégrer à vos workflows existants pour prévenir les risques de non-conformité ? Contactez-nous.

Better Seald than Sorry.

Essayez Seald avec votre équipe.