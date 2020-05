Conformité au RGPD, un défi supplémentaire durant la crise du COVID-19

mai 2020 par Laurent Nezot, Sales Director France chez Yubico

Selon une récente enquête menée par les clubs utilisateurs francophones de progiciels (SAP et Oracle) auprès de 134 entreprises membres, six entreprises sur sept considèrent que la mise en conformité au RGPD n’est toujours pas achevée deux ans après son entrée en vigueur. Un retard probablement aggravé ces derniers mois en raison de la crise du COVID-19 qui a conduit à la généralisation soudaine du télétravail. Une étude de Leonne International menée en avril 2020 révèle en effet que 43 % des décideurs français estiment que le système de télétravail mis en place en raison de la crise sanitaire n’est pas conforme au RGPD.

Pour Laurent Nezot, Sales Director France chez Yubico, la généralisation du travail à distance a confronté les entreprises à un défi supplémentaire en matière de sécurisation et de conformité. Alors que le RGPD exige que les entreprises mettent en place des mesures de protection des données, l’authentification forte joue un rôle fondamental dans la cybersécurité :

« Le développement rapide du COVID-19 a laissé de nombreuses organisations en manque du temps ou des ressources nécessaires pour revoir leur stratégie et les mesures de sécurité, telles que la mise en place d’une couche de sécurité supplémentaire sur les appareils utilisés depuis le domicile pour le travail. Certaines organisations n’ont peut-être même pas eu le budget ou la capacité nécessaires à la mise en place de dispositifs dédiés. Cela signifie que de nombreux employés travaillent sur des appareils et des réseaux moins sécurisés lorsqu’ils sont à distance. Ainsi, cette adoption rapide et massive du télétravail a conduit à des négligences qui exposent aujourd’hui les entreprises à des risques de violation de données ainsi qu’à de lourdes amendes au titre du RGPD.

Il y a plus que jamais aujourd’hui une réelle nécessité de solutions d’authentification renforcées, aussi bien dans un souci de sécurisation des données que de conformité ; au-delà de l’authentification multifacteur “basique” utilisée comme couche supplémentaire de sécurité, qui reste vulnérable aux attaques modernes de phishing et de "Man-in-the-Middle". Les organisations doivent en effet mesurer l’intérêt de mettre en place des méthodes d’authentification multifacteur “supérieures”, telles que les clés de sécurité ou bien des lecteurs biométriques intégrés et fonctionnant avec des standards ouverts non interceptables, basés sur la cryptographie à clé publique comme WebAuthn et Fido.

Pour être conformes, les entreprises doivent par ailleurs répondre aux demandes des individus qui souhaitent voir, modifier, effacer ou transférer leurs données, et être en mesure de prouver qu’elles ont obtenu leur consentement explicite quant à l’utilisation de leurs informations personnelles. Pour ce faire, s’assurer de l’identité des personnes est un facteur clé dans la réalisation des principaux objectifs du RGPD. Dans ce cadre, l’authentification multifacteur joue un rôle essentiel en fournissant un niveau de confiance supplémentaire dans la preuve d’identité d’un utilisateur. Ceci est particulièrement important avec les changements dans les flux de travail.

Enfin, dans le contexte actuel, sans visibilité sur l’environnement de travail des employés à distance, il est nécessaire d’avoir une confiance accrue dans les terminaux qui accèdent à l’infrastructure de l’entreprise. Les facteurs environnementaux peuvent constituer des menaces importantes, notamment lors de l’utilisation de dispositifs personnels ou non autorisée des biens de l’entreprise par des membres de la famille. Ces deux scénarios peuvent augmenter la probabilité de réussite d’un logiciel malveillant, d’un ransomware ou d’une attaque par phishing. Le recours aux logiciels anti-malware ou de pare-feu, à l’authentification forte pour les connexions à l’ordinateur et l’application de bonnes pratiques simples, comme les mises à jour fréquentes des logiciels ou le verrouillage des écrans, sont essentielles essentiels pour garder le contrôle des points d’accès dans les environnements de travail non sécurisés.

Dans le contexte actuel, alors que le nombre de cyberattaques ne cesse d’augmenter, il est crucial que les entreprises poursuivent leurs efforts et leurs investissements pour une pleine conformité au RGPD. Il est également important qu’elles s’adaptent au contexte et à l’environnement qui évoluent en continu, notamment avec les employés à distance, une pratique qui pourrait bien se poursuivre après la crise du coronavirus. Au-delà du risque de sanction en cas de non-respect de la réglementation en vigueur, la moindre violation de données peut avoir de lourdes conséquences sur la réputation de l’entreprise, un enjeu majeur pour son activité.