Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

6 mesures phares à privilégier par les entreprises dans les mois qui viennent pour protéger vos données contre les intrusions à l’ère du RGPD

avril 2018 par André Stewart VP EMEA de Netskope

Les fuites de données massives qui ont fait les gros titres de la presse ces dernières années, comme notamment, Yahoo, Verizon et Equifax, ont porté préjudices aux victimes de ces intrusions, aussi bien particuliers que les entreprises.

Nous avons assisté tour à tour à une débâcle boursière, à des assignations collectives en justice, à des évictions de PDG, et à des citations de hauts responsables devant le Congrès américain. Des fuites de ce type pourraient se révéler encore plus couteuses pour les entreprises à compter du 25 mai prochain, date de l’entrée en vigueur du Règlement général sur la protection des données de l’Union Européenne.

Ce Règlement impose aux entreprises de protéger les données à caractère personnel et la vie privée des personnes physiques dans le cadre des transactions opérées au sein des États membres de l’UE, il réglemente également l’exportation de ces données à caractère personnel en dehors de l’UE.

En cas d’infraction à ce réglement, les sanctions prévoient des amendes pouvant s’élever à plus de 27 millions d’euros, ou à 4% du chiffre d’affaires, le montant le plus élevé étant retenu.

Pour Equifax, qui a déclaré un chiffre d’affaires de 3 140 milliards de dollars en 2016, cette amende pourrait se monter à 125,7 millions de dollars. L’agence américaine de crédit a déjà engagé 87,5 millions de dollars de dépenses à ce jour pour remédier à ce piratage et à ses conséquences.

Pour une entreprise de l’envergure d’Apple, qui réalise un chiffre d’affaires de 229,2 milliards de dollars, les pénalités pourraient atteindre pas moins de 9,17 milliards de dollars. Concrètement, le RGPD s’appliquera à toute entreprise, indépendamment de sa domiciliation, assurant le traitement des données de ressortissants de l’UE. Compte tenu de la dimension planétaire du cybercommerce, les répercussions de ce Règlement seront considérables.

Les entreprises n’ont d’autre alternative que de se doter, dès à présent, de systèmes afin de s’assurer de leur conformité avec ce Règlement, avant qu’il ne soit trop tard.

Voici six mesures phares qu’elles doivent privilégier dans les mois qui viennent :

1. Protéger leurs données au-delà du périmètre de l’entreprise. Les réseaux d’entreprise ne cessent de s’étendre avec le recours accru au cloud. Un établissement lambda utilise en moyenne plus d’un millier de services cloud, dont 92 % ne sont pas prêts pour l’entreprise, d’après un rapport établi l’an dernier par Netskope, spécialiste du cloud sécurisé. Netskope fait partie d’un certain nombre d’acteurs dispensant des services de sécurisation cloud.) Les entreprises doivent étendre leurs pratiques de sécurité de manière à englober tous les nouveaux modes d’interaction technologiques. Si la multiplication des contrôles de sécurité en entreprise est primordiale, une protection des données de bout en bout constitue l’un des dispositifs de protection les plus performants.

2. Sensibiliser obligatoirement à la confidentialité. En exigeant des collaborateurs qu’ils suivent une formation de sensibilisation à la cybersécurité et en organisant une formation en continue, les entreprises sont à même de promouvoir une culture de la sécurité. Les responsables des équipes de sécurité sont chargés de repérer les risques de non-conformité au RGPD et de renforcer les contrôles, mesures et procédures, puis en les communiquant, ainsi que d’autres bonnes pratiques de sécurité à leurs collaborateurs. Ces derniers doivent absolument s’impliquer en apportant leur concours à l’entreprise dans sa mise en conformité avec le RGPD — au même titre que la direction.

3. Sécuriser la transmission des données dans le cloud. À mesure que l’adoption du cloud s’accélère et que les données circulent de plus en plus par-delà les frontières physiques, il devient primordial de passer au crible la gestion des transferts et contrôles de données au niveau des opérateurs cloud. Messagerie électronique, espace de stockage dans le cloud ou applications collaboratives telles que Slack : les équipes en charge de la sécurité doivent surveiller de près les nombreux canaux utilisés pour communiquer et partager des données. Plutôt que de bloquer leur utilisation, il leur appartient de mettre en place les garde-fous adaptés afin de faire en sorte que les collaborateurs ne puissent exposer, intentionnellement ou par inadvertance ces données au monde extérieur et rendre, à leur tour, l’entreprise passible de pénalités.

4. Examiner les conditions contractuelles. Près de 40 % des services cloud sont régis par des clauses et conditions ne comportant aucune mention particulière sur la propriété des données. Dans certains cas, l’utilisateur est le détenteur des données, mais dans d’autres, c’est le fournisseur de services cloud. Les équipes de sécurité doivent attirer l’attention des collaborateurs sur ces points en les incitant à se tenir à l’écart des services qui entendent s’approprier les données.

5. Connaître parfaitement leurs données. Autrement dit, maîtriser véritablement celles-ci : la nature des informations recueillies, les responsables de leur collecte et les personnes en charge de leur diffusion dans toute l’entreprise. De même, les entreprises doivent se garder de croire que leur définition des informations médicales personnelles, informations nominatives et autres profils de données coïncidera avec celle du RGPD, puisque le périmètre réglementaire est différent et peut inclure des aspects tels que les loisirs, affiliations politiques et orientation sexuelle.

6. Suivre leurs données. Il est impératif que les entreprises sachent où circulent leurs données — en particulier si elles franchissent les frontières géopolitiques. En fait, à 80,3 % du temps, les données cloud sont sauvegardées dans un autre périmètre géographique. Il s’agit là, après tout, d’une spécification de conception intentionnelle et d’un point fort du cloud permettant de garantir disponibilité élevée et reprise sur sinistre. Si les données en question comportent des données réglementées au sens du RGPD, il conviendra de restreindre, en accord avec votre prestataire de services cloud, les sauvegardes à certaines zones géographiques. Si ce n’est pas dans ses cordes, recourez à des mécanismes tiers pour prendre les précautions nécessaires.

Le RGPD a beau émaner de l’Union européenne, il s’applique aux entreprises du monde entier. Ce règlement oblige les entreprises à renforcer leurs protections à l’égard de leurs données clients, sous peine de se voir infliger des amendes. Peut-être n’empêchera-t-il pas les intrusions, mais il contribuera à limiter le volume et la gravité des fuites de données et, ce faisant, les préjudices subis par les consommateurs. Les entreprises doivent accélérer les actions engagées pour mettre en place des mesures conformes à ce nouveau règlement. Ce faisant, elles ne réaliseront pas seulement des économies : il est toujours intéressant, pour une entreprise, de disposer de solides mécanismes de protection pour ses données.


Voir les articles précédents

    

Voir les articles suivants