Faites participer vos auditeurs et votre conseil juridique dès le début : ils fourniront de précieux conseils sur les principaux domaines à risque et recommanderont un cadre de travail pour la gestion continue de la conformité.

Mettez en place une équipe de gestion du programme de protection de la vie privée. Au minimum, désignez un responsable de la protection des données et déclarez-le auprès de la CNIL et autres autorités de régulation pertinentes.

Effectuez un inventaire des informations personnelles et une cartographie des flux de données (par domaine d’activité). Vous pouvez aussi réaliser une évaluation des lacunes en matière de protection de la vie privée, ainsi qu’un contrôle de la « due diligence » de vos prestataires en la matière.

Lancez une évaluation de la culture de la protection de la vie privée pour déterminer si les employés sont prêts et comprennent les enjeux.

Informez vos employés et les parties prenantes sur la législation pertinente en matière de protection des données, sur ce qui est nécessaire, et les responsabilités qui leur incombent.

Rejoignez les organismes professionnels de protection de la vie privée – pour rester informé des meilleures pratiques à mettre en oeuvre. Par exemple l’International Association for Privacy Professionals.

Analysez vos environnements SAP pour déterminer les zones clés où ces données sont stockées. Il sera difficile de traiter les demandes et de divulguer des informations personnelles sans avoir une idée précise de l’endroit où elles se trouvent.

Informez vos équipes sur l’endroit où ces données sensibles sont stockées dans vos systèmes SAP (y compris les composants intégrés comme le Workflow, SAP BW, les documents de modification, etc) pour que les procédures de localisation et de suppression éventuelle de ces données puissent être correctement conçues et développées.

Examinez vos flux d’informations et processus au sein de l’entreprise pour identifier les étapes où des données sensibles (informations sur les clients, les employés, les fournisseurs, les partenaires commerciaux) sont impliquées et diffusées.

Réduisez votre profil de risque en masquant intelligemment les données dans les systèmes hors production. En retirant vos systèmes de test de l’équation, vous réduisez les risques et les frais généraux liés au traitement des demandes.

Recherchez les systèmes inutilisés contenant des données sensibles qui peuvent être supprimées, ou des données sensibles qui ne sont pas ou plus requises dans les environnements de test et qui pourraient être supprimées.

Consultez régulièrement le SAP One Launchpad pour y trouver les correctifs de sécurité spécifiques à vos versions de SAP, système d’exploitation et type de base de données.

Veillez à ce que la responsabilité de l’examen et de l’application des notes SAP soit clairement établie au sein de votre organisation.

Assurez-vous que votre équipe possède les compétences nécessaires pour protéger les systèmes et les domaines Cloud hybrides, notamment les règles relatives au Cloud et au pare-feu.

Élaborez une politique d’archivage/révision et de conservation des données pour indiquer clairement quand des données sensibles peuvent être archivées ou supprimées.

Automatisez si possible ces solutions de rédaction et d’archivage afin que la conservation des données fasse partie de votre cycle normal – plutôt que d’être basé sur un projet.

En fonction de vos politiques de conservation, entreprenez un projet de nettoyage et d’archivage pour supprimer, archiver ou éditer des données qui n’ont plus de raison légale d’être conservées.

Identifiez les rôles et les utilisateurs qui ont accès à ces données et élaborez des règles ainsi que des alertes afin que les demandes d’accès tiennent compte des risques associés.

Mettez en place un processus permettant de vérifier régulièrement qui a accès aux données à caractère personnel.

Documentez clairement ces politiques d’accès et les étapes de validation.

Implémentez un cryptage pour éviter que des données sensibles ne soient stockées au repos ; toute donnée stockée sur des serveurs de fichiers ou fournie par des interfaces doit être cryptée avant d’être transmise.

Ré-évaluez votre politique de sécurité pour vous assurer de bien utiliser des outils qui atténuent le risque pour les utilisateurs qui extraient des données sensibles par le biais de rapports, d’analyses et de partage de connaissances avec des collègues.

Contrôlez le risque de perte de données. Les utilisateurs SAP extraient des centaines d’enregistrements et de documents sensibles des systèmes et applications SAP afin d’effectuer des comptes rendus et des analyses et de partager ces informations avec leurs collègues, partenaires et fournisseurs. La plupart des entreprises ne contrôle que très peu à quel endroit se trouvent ces documents, qui y a accès ou comment ils sont utilisés. Il subsiste donc un risque élevé de perte de données en raison d’actions malveillantes ou accidentelles.

Simulez une réponse à une brèche ou violation de données et élaborez un plan d’action qui décrit les responsabilités essentielles de tous les acteurs concernés (base, sécurité du réseau, propriétaires d’applications, responsables des risques).

Identifiez les outils techniques et processus proposés par SAP qui vous permettront de mieux gérer : les risques d’accès, la sécurité des infrastructures, les contrôles internes, l’archivage, la gestion des données non productives, la notification des violations et la gestion des demandes de divulgation.