3 questions à Didier Hénin, RSSI de But International

Publié le

« Depuis deux ans, nous avons mis en place des process de privacy by design afin de prendre en compte la sécurité des données sensibles dès le départ d’un projet »

Expliquez nous comment But International s’organise en vue de la mise en place du règlement européen ?

Cela fait déjà plusieurs années que nous travaillons à cette problématique, en particulier depuis la volonté de mettre en œuvre le site de e-commerce. Peu à peu nous nous sommes confrontés à la problématique des risques sur les données des clients. L’utilisation et l’enrichissement de celles-ci, la transformation de l’infrastructure IT (passant de l’ère des fichiers plats vers l’ère du bus de données – ESB) a rendu la création de la fonction de RSSI obligatoire et l’un des objectifs est de revoir l’ensemble des traitements afin de se mettre en conformité par rapport à la CNIL. Depuis deux ans, nous avons mis en place des process de "privacy by design" afin de prendre en compte la sécurité des données sensibles dès le départ d’un projet, cela permet à mesure du temps d’obtenir les bonnes informations pour établir les bonnes déclarations. La donnée des clients est au centre du process. Nous constituons par ailleurs un dictionnaire des données sur chacun des projets afin de savoir comment ces dernières allaient être utilisées.

Et comment cela est il perçu dans l’entreprise et par les prestataires ?

La Direction générale pousse et soutient mon travail de sécurisation du Système d’information et en particulier la donnée client, dans le secteur du commerce c’est de l’or.
Je suis aidée de Garance Mathias qui nous accompagne dans ce projet, sur les aspects juridiques et qui a fait de la sensibilisation auprès du comité de direction. Pour autant il y a encore certains blocages tant en interne qu’à l’externe. Le premier frein est la compréhension de tous à mettre en œuvre les moyens techniques de sécurité. Il peut y avoir aussi des ralentissements financiers car bien sûr il faut justifier les investissements mais de manière générale on me donne les moyens. C’est pourquoi, nous ne pouvons pas encore dire que nous sommes complétement conforme aux recommandations de la déclaration à la CNIL.

Par quoi commencer ?

Quelques mois après ma prise de poste, j’ai défini une stratégie visant à renforcer la résistance à intrusion sur nos systèmes d’information tant de l’extérieur que de l’intérieur. Pour cela, en lien avec notre partenaire (SOLUCOM), nous avons défini un volume de vingt tests d’intrusion par an sur l’ensemble du SI et des projets - lorsqu’ils sont en phase de pré-recette - nous permettant de détecter les vulnérabilités, d’établir le plan de remédiation et surtout de mettre en œuvre, dans la durée un process de gestion de la sécurité. Du côté des fournisseurs, nous donnons nos exigences de sécurité lors d’appels d’offre et choisissons de préférence ceux embarquant déjà cette notion. Pour les fournisseurs historiques, nous avons entamé avec le cabinet d’avocats une revue de l’ensemble des contrats en y faisant apparaître les notions de protection des données sensibles telles que les données clients.

Et vous même, comment vous (in)formez vous ?

Je fais office de CIL même si je ne suis pas CIL déclaré, j’ai de ce fait une connaissance de la problématique des données personnelles. Par ailleurs, j’ai suivi une formation complémentaire et j’échange beaucoup avec Garance Mathias. Nous construisons petit à petit et constituons véritablement un binôme. Enfin, j’ai pour objectif de sensibiliser les 6500 salariés de l’enseigne sur l’utilisation des systèmes d’information et les risques qui en sont issus ainsi que sur la protection des données clients, ce qui m’amène à beaucoup me déplacer en France. Je rédige également des publications dans la presse interne et j’ai construit un e-learning interactif

Dernière publication

Associer renseignement sur la menace et cyber-résilience peut sembler antinomique, Benoit Grunemwald, Cybersecurity Leader, ESET explique !

Lire