Les experts du RGPD expliquent comment protéger les données en déplacement

Tendances

Les experts du RGPD expliquent comment protéger les données en déplacement

Reading time:  6 Minutes

Les données de votre entreprise sont-elles en sécurité à l’extérieur de votre bureau ? Le règlement général sur la protection des données (RGPD) entre en vigueur ce mois-ci, affectant toute organisation dans le monde qui recueille ou traite des données personnelles sur les résidents de l’UE. Dans cet article, des experts sur les questions de conformité avec le RGPD vous conseillent sur la façon de protéger votre entreprise

 

Si votre entreprise s’appuie sur des travailleurs distants, vous savez déjà à quel point il est crucial de s’assurer que les données ne soient pas mal utilisées, égarées ou détournées. Cependant, avec l’entrée en vigueur du règlement général sur la protection des données (RGPD) ce mois-ci (mai 2018), il est également important de s’assurer que vous répondez aux exigences strictes du règlement. Le non-respect du RGPD peut entraîner d’importants préjudices financiers et de réputation. Alors, comment pouvez-vous protéger les données en déplacement tout en conservant les avantages d’une main-d’œuvre vraiment flexible ?

1. Informez vos employés

Selon les termes du RGPD, votre entreprise est « propriétaire des informations » et vos employés à distance sont des « gestionnaires d’informations ». « Cela signifie qu’ils ont autant un rôle à jouer que vous en ce qui concerne la sécurisation de vos données professionnelles », explique John Slaughter, directeur général de Data Comply(1). « La conformité au RGPD devrait devenir une priorité dans leurs rôles quotidiens, particulièrement quand ils travaillent à distance », ajoute-t-il. « Des directives claires sur l’utilisation de réseaux sécurisés étant essentielles, identifiez et communiquez quels enregistrements sont limités à un environnement sécurisé. » Il conseille aux entreprises de former, de reformer et d’évaluer régulièrement les employés pour s’assurer qu’ils soient sensibilisés à ces questions et que leurs pratiques soient à jour.

Les entreprises devraient également envisager de rappeler au personnel que le WiFi public n’est en aucun cas sécurisé. « Un individu ne doit pas utiliser un réseau public pour effectuer des opérations bancaires, et ne doit donc pas non plus accéder à des documents de travail confidentiels », explique Andy Kays, directeur technique chez Redscan, société spécialisée dans la détection et la gestion des menaces(2). « Encouragez les travailleurs à utiliser uniquement des points d’accès WiFi sécurisés ou à se connecter au réseau de l’entreprise via une connexion sécurisée (VPN). Il est également acceptable de se connecter à Internet via un réseau 4G (ou un dongle), ce qui permet aux employés d’avoir une bonne connexion sécurisée avec le fournisseur de services. »

2. Protégez tout par mot de passe

Le RGPD aura probablement le pouvoir d’imposer des amendes allant jusqu’à quatre pour cent du chiffre d’affaires global d’une entreprise dans le cas de violations de données importantes. La seule exception est si vous pouvez démontrer que les données ont été correctement chiffrées.

« Aucun système de sécurité au monde n’est infaillible, même la Nasa a déjà été victime de piratage », confie Andrei Hanganu, auteur basé en Roumanie du Documentation Toolkit du RGPD de l’UE(3). « Mais des mots de passe forts et des solutions de chiffrement adéquates vous aideront à protéger vos données personnelles contre les utilisateurs non autorisés. »

La plupart des entreprises ont un logiciel en place pour chiffrer les lecteurs et les fichiers qui y sont enregistrés, mais cela ne s’applique pas automatiquement aux appareils distants. Andrei Hanganu recommande de fournir le logiciel de chiffrement requis pour les ordinateurs portables, les téléphones mobiles et les ordinateurs de bureau personnels. Ensuite, tout ce dont l’utilisateur a besoin, c’est d’un code PIN ou d’un mot de passe pour accéder aux données et les déchiffrer sous une forme lisible. Tous les travailleurs doivent avoir pour habitude de tout protéger à l’aide de mots de passe.

3. Conservez des systèmes propres

Les attaques de virus et de logiciels malveillants peuvent collecter et suivre les données, ce qui signifie qu’elles relèvent également de la norme RGPD. « Il est si difficile de se protéger contre les logiciels malveillants que la plupart des entreprises ne se posent pas la question de savoir si elles vont être touchées, mais plutôt quand elles vont être touchées », explique Nigel Tozer, directeur du marketing pour les solutions EMEA chez Commvault(4). Il recommande de s’assurer que les dispositifs de vos employés sont protégés par les systèmes d’exploitation et les logiciels anti-virus les plus récents.

« Les humains sont toujours le maillon faible dans le dispositif de sécurité d’une organisation, et les conséquences peuvent être dévastatrices si un seul employé clique sur un lien malveillant ou ne met pas à jour son système », ajoute Andy Kays. « Il est donc important de sensibiliser les employés aux risques de cybersécurité à l’aide de formations régulières, en particulier avec les travailleurs à distance qui peuvent accéder aux données et aux services de l’entreprise à partir de nombreux appareils, emplacements et réseaux ».

Les entreprises pourraient également envisager de mettre en place des sessions régulières avec le service informatique, à l’occasion desquelles les employés apporteraient leurs appareils mobiles pour des contrôles de sécurité, des mises à jour et des mises à niveau réguliers.

Les experts du RGPD expliquent comment protéger les données en déplacement

Votre organisation dispose-t-elle d’une stratégie pour assurer la sécurité des données une fois qu’elles quittent le bureau ?

 

4. Rappelez-vous la sécurité visuelle

« Dans un monde technologiquement avancé, il est facile d’oublier qu’il existe encore des moyens rudimentaires pour voler les données de votre entreprise », révèle Orlagh Kelly, avocate et PDG de Briefed GDPR Training and Consultancy Specialists(5).

Lors d’une expérience menée par 3M, un pirate informatique infiltré a pu obtenir des informations sensibles en se contentant d’espionner par-dessus l’épaule dans 88 % des cas(6).

« Invitez les employés à faire attention aux personnes susceptibles de regarder par-dessus leur épaule pendant qu’ils travaillent à l’extérieur du bureau », conseille Orlagh Kelly. Vous pouvez envisager de distribuer des filtres de confidentialité qui s’attachent à l’écran et empêchent toute personne de jeter un coup d’œil sur le côté.

5. Comprenez les limitations du cloud

Selon une étude du Ponemon Institute, 44 % des données d’entreprise stockées dans des environnements cloud ne sont pas gérées ou contrôlées par le département informatique. En conséquence, l’étude révèle également que l’utilisation de services de cloud computing peut multiplier par trois la probabilité d’une violation de données de 20 millions de dollars(7).

« Choisir le bon fournisseur de cloud est très important », indique Nigel Tozer. « Vous devez savoir exactement comment ils vont traiter une violation de données, car il y a des responsabilités des deux côtés. Si toutes les données restent dans l’UE, votre fournisseur de cloud doit veiller à les conserver de manière conforme à vos exigences légales. Vous devez également vérifier que toutes les données quittant l’UE sont correctement protégées en conformité avec le RGPD ».

Nigel Tozer souligne qu’en ce qui concerne le RGPD, alors que le fournisseur de cloud est le processeur des données, votre entreprise en est le contrôleur. « [Cela signifie] qu’il est de votre responsabilité de vérifier les références de votre fournisseur et de vous assurer qu’il offre des garanties suffisantes pour mettre en œuvre les protections techniques et organisationnelles appropriées qui répondent à la nouvelle réglementation de l’UE. »

6. Respectez la vie privée de vos employés

Si vous utilisez actuellement des outils ou des technologies pour surveiller la productivité de vos travailleurs à distance, vous devrez réfléchir à la manière d’aligner vos bonnes intentions sur la nécessité de protéger leur vie privée, indique George Harris, consultant RGPD pour DMPC Ltd(8). « [Surveiller votre personnel] est difficile à justifier dans un scénario d’entreprise standard », explique-t-il.

Sous le RGPD, il est difficile de surveiller les appareils d’un employé (à l’aide de technologies d’enregistrement de la frappe ou de suivi de la souris) sans violer leur droit à la vie privée. Selon le Groupe de travail Article 29 du RGPD : « Les technologies qui surveillent les communications peuvent […] avoir un effet dissuasif sur les droits fondamentaux des employés à s’organiser, à organiser des réunions de travail et à communiquer de manière confidentielle (y compris le droit de rechercher des informations)(9). »

7. Disposez d’un plan d’action en cas de violation de données

« Il existe différents types de violations de données : de l’attaque d’un logiciel malveillant affectant un ordinateur portable, à l’employé qui oublie son téléphone professionnel dans le train, en passant par l’employé qui envoie par inadvertance des enregistrements à un groupe en utilisant le champ ‘cc’ au lieu de ‘cci’ », explique James Walker, directeur général de Jaw Consulting UK, société spécialisée en cybersécurité, protection des données et confidentialité(10).

Si votre premier instinct est d’engager des procédures de contrôle des dommages, dans le cadre du RGPD, elles sont d’autant plus importantes. « Une organisation dispose de 72 heures pour informer à la fois les personnes concernées et l’autorité de surveillance compétente d’une violation de données, avec une analyse des conséquences probables de la violation, et des mesures prises ou proposées pour atténuer les effets négatifs d’une telle violation », ajoute James Walker.

Vous vous souvenez des amendes de 4 % évoquées plus haut ? C’est ce qui vous pend au nez en cas de non-conformité. « Une exemption à cette procédure de notification détaillée est possible si vous pouvez prouver que la violation ne risque pas de porter atteinte aux droits et libertés des personnes physiques », révèle James Walker. « Montrer que vous avez correctement chiffré les données peut s’avérer très utile dans ce cas, et cela vous évitera peut-être même d’avoir à signaler un incident tel qu’une violation de données ».

 


Sources :

(1) https://datacomply.co.uk/

(2) https://www.redscan.com

(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/

(4) https://www.commvault.com /

(5) https://www.briefed.pro/

(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/

(7) https://www.ibm.com/security/data-breach

(8) http://dmpc.ltd.uk/

(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf

(10) https://www.jawconsulting.co.uk