ven. Nov 22nd, 2019
avast - luis corrons

Devons-nous protéger nos entreprises face au RGPD ?

Par Luis Corrons, Security Evangelist chez Avast

Bon nombre d’entreprises n’ont pas attendu l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai 2018 pour se conformer. Certaines ont en effet pris des mesures dès son adoption par le Parlement européen, en avril 2016. Pourtant, une étude de septembre 2019 menée auprès de 1 000 répondants par le cabinet de conseil Capgemini révèle que moins d’un tiers des organisations estiment être en conformité avec le règlement, malgré la menace des sanctions : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global de l’entreprise.

 

Ces sanctions ne devraient pas effrayer les entreprises tant que celles-ci s’imposent des directives claires concernant la sécurité de leur réseau.

Selon Enforcement Tracker qui entretient une liste des amendes imposées en vertu du non-respect du RGPD, 21 pays ont appliqué des sanctions depuis l’entrée en vigueur du règlement. Les amendes les plus lourdes ont été imposées par le Royaume-Uni à British Airways (204 millions d’euros) et au groupe Marriott (111 millions d’euros) ainsi que par la France à Google (50 millions d’euros). Les organisations sanctionnées sont principalement des entreprises privées, dont l’éventail va du simple restaurant de quartier à des multinationales de grande ampleur. Mais les entités du secteur public ne sont pas en reste : on y trouve des municipalités, des partis politiques, des hôpitaux et même un officier de police.

Pour les entreprises, le RGPD peut paraître contraignant. Car non seulement elles doivent se soucier des vagues ininterrompues de cyberattaques, mais les autorités peuvent aussi leur demander des comptes si elles en sont victimes, via des sanctions – ce qui peut être perçu comme une double peine. En outre, en regardant de plus près les amendes imposées, on peut voir que les causes sont identiques : des dispositifs de sécurité informatique lacunaires.

N’importe quelle entreprise peut être victime d’une violation de ses données. De nos jours, peu d’entre-elles considèrent cependant comme prioritaire la sécurité informatique. De plus, il ne faut pas oublier que les motivations des cybercriminels sont financières et, qu’à l’instar d’une organisation, ils vont calculer leur retour sur investissement avant de perpétrer une attaque. Ainsi, une entreprise dont le système de protection informatique est faible offre non seulement une voie royale aux cybercriminels, mais ces derniers n’auront pas à élaborer une attaque aussi complexe que coûteuse pour parvenir à leurs fins.

 

Toutefois, quelques étapes très simples peuvent sécuriser les entreprises, à la fois des cyberattaques et des sanctions liées au RGPD :

  • Protéger les appareils : installer une solution de sécurité sur les ordinateurs peut sembler suffire. Bien que cela soit déjà une étape importante, il faut s’assurer que tous les terminaux sont bien pris en compte : smartphones, routeurs et tout autre appareil qui peut être utilisé comme point d’entrée dans l’environnement IT.
  • Installer les patchs : tous les logiciels utilisés doivent être mis à jour, dès qu’un correctif est disponible, car un cybercriminel tire profit de toute faille existante. Ceci inclut le système d’exploitation, tous les programmes installés, les pilotes, ou encore le micrologiciel.
  • Contrôler les appareils : il faut établir des protocoles déterminant les personnes autorisées à s’introduire sur le réseau et dans quelles conditions elles le font.
  • Travailler à distance : le télétravail est de plus en plus populaire et implique que les entreprises laissent leurs employés travailler depuis n’importe où dans le monde, ce qui augmente le risque de cyberattaques. Les VPN sont dans le cas du télétravail très utilisés, mais ils nécessitent une protection adéquate. Différents profils VPN peuvent aussi être créés et assignés aux utilisateurs, afin de leur octroyer seulement l’accès aux ressources du réseau dont ils ont besoin.
  • Se connecter à distance : il arrive souvent de se connecter à distance à certains postes de travail ou des serveurs afin d’en prendre le contrôle. Ce mode de travail est sûr du moment qu’il est accessible aux personnes qui sont déjà dans les réseaux internes.

 

Si l’on part du principe que tôt ou tard, le réseau va subir une cyberattaque, il faut agir en conséquence et tenter de déceler toutes les activités suspectes. Il faut ainsi mener régulièrement des tests de pénétration, trouver les points faibles et suivre les recommandations afin de les corriger.

Les sanctions liées au RGPD, quant à elles, ne sont pas inévitables et, alors que les États tendent vers une standardisation des réglementations de cybersécurité – notamment pour les objets connectés – les bonnes pratiques de cybersécurité adoptées dès maintenant porteront leurs fruits.

%d blogueurs aiment cette page :