Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’authentification forte pour se conformer à la RGPD

avril 2018 par Dirk Denayer, VASCO DATA SECURITY

Une étude publiée par l’ENISA (l’Agence européenne chargée de la sécurité des réseaux et de l’information) explique quelles sont les mesures à mettre en œuvre pour se conformer à la Règlementation générale pour la protection des données (RGPD, ou GDPR en anglais). Ces recommandations mentionnent notamment l’authentification forte et la sécurité des applications mobiles comme des mesures techniques pour les situations présentant un risque élevé.

La RGPD va devenir le principal cadre légal pour la protection des données dans l’Union Européenne et représente un pas en avant significatif pour l’amélioration du respect de la vie privée des citoyens de l’UE. La RGPD s’applique également à toute entreprise proposant des biens et des services aux citoyens de l’UE – et ce quels que soient sa taille, son pays d’origine ou son secteur d’activité – dès lors qu’elle traite ou sous-traite des données personnelles.

Comme défini dans l’article 32 de la RGPD, l’une des principales obligations pour ces entreprises est d’appliquer des mesures techniques pour sécuriser ces données personnelles : les responsables du traitement des données et les sous-traitants « doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. »

Recommandations de l’ENISA pour se conformer à la RGPD

Dans son étude sur les dispositifs de sécurité organisationnels et techniques à adopter pour se conformer à la RGPD, l’ENISA définit les mesures appropriées dans différents domaines en fonction du risque.

Par exemple, dans le domaine du contrôle des accès et de l’authentification, l’ENISA recommande de mettre en place une procédure d’authentification forte pour les situations présentant un risque élevé et pour certains cas où le risque est moyennement élevé : « L’authentification forte est recommandée pour accéder aux systèmes qui traitent des données personnelles. Les facteurs d’authentification peuvent être les suivants : mot de passe, token de sécurité, clé USB fournissant un token secret, biométrie, etc. »

Dans le domaine des appareils mobiles, l’ENISA rappelle que les smartphones et autres terminaux augmentent le risque de vol ou de perte accidentelle des données. De plus, ils sont susceptibles d’être aussi utilisés à des fins personnelles. Il est donc essentiel de s’assurer que les données professionnelles ne sont pas compromises. L’ENISA conseille ainsi d’ « utiliser l’authentification forte pour accéder aux appareils mobiles, et d’encrypter les données personnelles stockées dans l’appareil mobile. »

Enfin, dans le domaine du développement applicatif, l’ENISA recommande de s’assurer que la sécurité des données personnelles est prise en considération. Durant le cycle de développement, il s’agit de suivre « les bonnes pratiques, l’état de l’art, ainsi que les pratiques de développement, les environnements et les standards connus et reconnues », même pour les situations à faible risque.

Conclusions

A quelques semaines de l’entrée en vigueur de la RGPD, les entreprises commencent à peine à penser aux changements qu’elles devront entreprendre et au renforcement de leur stratégie de sécurité des données.

Mais le temps qui sera nécessaire pour mettre en œuvre ces changements et l’impact que ces derniers auront sur l’organisation sont très difficiles à anticiper. C’est pourquoi l’ENISA empresse l’Union Européenne de communiquer davantage et d’encourager les entreprises à agir dans la perspective de la RGPD.


Voir les articles précédents

    

Voir les articles suivants