info utiles - RGPD : 6 conseils selon Netskope - Internet

Internet : RGPD : 6 conseils selon Netskope

Posté par JulieM le 12/4/2018 14:30:00 Articles du même auteur

Les fuites de données massives qui ont fait les gros titres de la presse ces dernières années, comme notamment, Yahoo, Verizon et Equifax, ont porté préjudices aux victimes de ces intrusions, aussi bien particuliers que les entreprises.

Nous avons assisté tour à tour à une débâcle boursière, à des assignations collectives en justice, à des évictions de PDG, et à des citations de hauts responsables devant le Congrès américain.

Des fuites de ce type pourraient se révéler encore plus coûteuses pour les entreprises à compter du 25 mai prochain, date de l'entrée en vigueur du Règlement général sur la protection des données de l'Union Européenne.

Ce Règlement impose aux entreprises de protéger les données à caractère personnel et la vie privée des personnes physiques dans le cadre des transactions opérées au sein des États membres de l'UE, il réglemente également l'exportation de ces données à caractère personnel en dehors de l'UE.

En cas d'infraction à ce règlement, les sanctions prévoient des amendes pouvant s'élever à plus de 27 millions d'euros, ou à 4% du chiffre d'affaires, le montant le plus élevé étant retenu.

Pour Equifax, qui a déclaré un chiffre d'affaires de 3 140 milliards de dollars en 2016, cette amende pourrait se monter à 125,7 millions de dollars. L'agence américaine de crédit a déjà engagé 87,5 millions de dollars de dépenses à ce jour pour remédier à ce piratage et à ses conséquences.

Pour une entreprise de l'envergure d'Apple, qui réalise un chiffre d'affaires de 229,2 milliards de dollars, les pénalités pourraient atteindre pas moins de 9,17 milliards de dollars.

Concrètement, le RGPD s'appliquera à toute entreprise, indépendamment de sa domiciliation, assurant le traitement des données de ressortissants de l'UE.

Compte tenu de la dimension planétaire du cybercommerce, les répercussions de ce Règlement seront considérables.

Les entreprises n'ont d'autre alternative que de se doter, dès à présent, de systèmes afin de s'assurer de leur conformité avec ce Règlement, avant qu'il ne soit trop tard.

Voici six mesures phares qu'elles doivent privilégier dans les mois qui viennent :

1. Protéger leurs données au-delà du périmètre de l'entreprise.

Les réseaux d'entreprise ne cessent de s'étendre avec le recours accru au cloud. Un établissement lambda utilise en moyenne plus d'un millier de services cloud, dont 92 % ne sont pas prêts pour l'entreprise, d'après un rapport établi l'an dernier par Netskope, spécialiste du cloud sécurisé.

Netskope fait partie d'un certain nombre d'acteurs dispensant des services de sécurisation cloud.)

Les entreprises doivent étendre leurs pratiques de sécurité de manière à englober tous les nouveaux modes d'interaction technologiques.

Si la multiplication des contrôles de sécurité en entreprise est primordiale, une protection des données de bout en bout constitue l'un des dispositifs de protection les plus performants.

2. Sensibiliser obligatoirement à la confidentialité.

En exigeant des collaborateurs qu'ils suivent une formation de sensibilisation à la cybersécurité et en organisant une formation en continue, les entreprises sont à même de promouvoir une culture de la sécurité.

Les responsables des équipes de sécurité sont chargés de repérer les risques de non-conformité au RGPD et de renforcer les contrôles, mesures et procédures, puis en les communiquant, ainsi que d'autres bonnes pratiques de sécurité à leurs collaborateurs.

Ces derniers doivent absolument s'impliquer en apportant leur concours à l'entreprise dans sa mise en conformité avec le RGPD — au même titre que la direction.

3. Sécuriser la transmission des données dans le cloud.

À mesure que l'adoption du cloud s'accélère et que les données circulent de plus en plus par-delà les frontières physiques, il devient primordial de passer au crible la gestion des transferts et contrôles de données au niveau des opérateurs cloud.

Messagerie électronique, espace de stockage dans le Cloud ou applications collaboratives telles que Slack : les équipes en charge de la sécurité doivent surveiller de près les nombreux canaux utilisés pour communiquer et partager des données.

Plutôt que de bloquer leur utilisation, il leur appartient de mettre en place les garde-fous adaptés afin de faire en sorte que les collaborateurs ne puissent exposer, intentionnellement ou par inadvertance ces données au monde extérieur et rendre, à leur tour, l'entreprise passible de pénalités.

4. Examiner les conditions contractuelles.

Près de 40 % des services cloud sont régis par des clauses et conditions ne comportant aucune mention particulière sur la propriété des données. Dans certains cas, l'utilisateur est le détenteur des données, mais dans d'autres, c'est le fournisseur de services cloud.

Les équipes de sécurité doivent attirer l'attention des collaborateurs sur ces points en les incitant à se tenir à l'écart des services qui entendent s'approprier les données.

5. Connaître parfaitement leurs données.

Autrement dit, maîtriser véritablement celles-ci : la nature des informations recueillies, les responsables de leur collecte et les personnes en charge de leur diffusion dans toute l'entreprise.

De même, les entreprises doivent se garder de croire que leur définition des informations médicales personnelles, informations nominatives et autres profils de données coïncidera avec celle du RGPD, puisque le périmètre réglementaire est différent et peut inclure des aspects tels que les loisirs, affiliations politiques et orientation sexuelle.

6. Suivre leurs données.

Il est impératif que les entreprises sachent où circulent leurs données — en particulier si elles franchissent les frontières géopolitiques. En fait, à 80,3 % du temps, les données Cloud sont sauvegardées dans un autre périmètre géographique.

Il s'agit là, après tout, d'une spécification de conception intentionnelle et d'un point fort du Cloud permettant de garantir disponibilité élevée et reprise sur sinistre.

Si les données en question comportent des données réglementées au sens du RGPD, il conviendra de restreindre, en accord avec votre prestataire de services Cloud, les sauvegardes à certaines zones géographiques.

Si ce n'est pas dans ses cordes, recourez à des mécanismes tiers pour prendre les précautions nécessaires.

Le RGPD a beau émaner de l'Union européenne, il s'applique aux entreprises du monde entier. Ce règlement oblige les entreprises à renforcer leurs protections à l'égard de leurs données clients, sous peine de se voir infliger des amendes.

Peut-être n'empêchera-t-il pas les intrusions, mais il contribuera à limiter le volume et la gravité des fuites de données et, ce faisant, les préjudices subis par les consommateurs.

Les entreprises doivent accélérer les actions engagées pour mettre en place des mesures conformes à ce nouveau règlement.

Ce faisant, elles ne réaliseront pas seulement des économies : il est toujours intéressant, pour une entreprise, de disposer de solides mécanismes de protection pour ses données.

André Stewart VP EMEA de Netskope

Note: 0.00 (0 votes) - Noter cet article -

Article précédent - Article suivant

Créer un fichier PDF à partir de cet article

Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.