Big Data, Science des données, aide à la décision en entreprise, business intelligence, data warehouse, reporting, OLAP, web analytics, data visualization, data mining, internet des objets, informatique cognitive, intelligence artificielle...

Abonnez-vous gratuitement à Decideo !


Decideo

 


Protection et intégrité des données : Êtes-vous prêts pour le RGPD ?


Rédigé par William Culbert, BOMGAR le 20 Octobre 2017

Le RGPD vise à mieux encadrer la collecte de données des citoyens de l'UE par les entreprises. Néanmoins, cette mesure concerne également la sécurité liée au stockage de ces données. Les entreprises doivent donc être très vigilantes et privilégier des solutions de sécurité informatique leur permettant de détecter rapidement toute intrusion dans le réseau informatique et d'agir dans les 72 heures pour régler le problème. Au-delà de ce délai, elles s'exposent à de lourdes pénalités.



William Culbert, Directeur Technique EMEA BOMGAR
William Culbert, Directeur Technique EMEA BOMGAR
La dernière édition du Secure Access Threat Report de Bomgar révèle que 57% des salariés des entreprises sondées envoient des fichiers à des comptes e-mail personnels et que 55% téléchargent des données sur une clé ou un disque dur externe. Par ailleurs, dans 53% des entreprises, les salariés se connectent au réseau interne à partir de connexions WiFi mal sécurisées, par exemple depuis un café ou un aéroport. Le RGPD, règlement général sur la protection des données, qui entrera en vigueur en mai 2018, est destiné à standardiser les lois de protection des données au sein de l'UE, afin de mieux protéger la vie privée des citoyens.


A qui le RGPD s'applique-t-il ?

Il s'applique à toutes les entreprises basées dans l'UE mais aussi à celles amenées à traiter les données de citoyens de l'UE. Au sein d'une entreprise, le RGPD doit être appliqué par les responsables du contrôle et du traitement des données. De plus, les entreprises doivent savoir parfaitement où et dans quelles conditions les données qu'elles collectent et stockent se trouvent physiquement, surtout si elles utilisent des solutions SaaS et des environnements cloud et hybrides.

Sous peine de se voir infliger de lourdes sanctions financières, pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel pour toute organisation déclarée non conforme, les entreprises doivent prendre les devants et déterminer quelles données elles ont en leur possession et comment s'y prendre pour se mettre en conformité.

Des entreprises majoritairement peu préparées

Une étude IDC, menée en mai et juin dernier, a révélé qu'à un an de l'échéance, seulement 9 % des entreprises françaises se déclaraient conformes au RGPD. Plus grave, plus de quatre sociétés sur dix (43 %), au moment de l'étude, venaient juste de prendre conscience de l'existence de ce règlement. En rendant les entreprises responsables de l'intégrité des données des citoyens, ce règlement impose notamment une vigilance accrue en matière de sécurité du système informatique. A ce titre, un des points les plus sensibles du RGPD réside dans son article 33. En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l'autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. En cas d'intrusion, les responsables informatiques ont donc 72 heures tout au plus pour en retracer l'origine et agir. Pour être efficaces, les entreprises doivent pourvoir disposer de solutions qui leur permettent de limiter les dommages, tout en étant à même de suivre l'activité complète des cybercriminels, en temps réel, en cas d'attaque.


72 heures pour agir en cas de violation des données

L'édition 2017 du rapport Verizon Data Breach Investigations précise que « dans 81% des cas de compromission résultant de tentatives de piratage, on retrouve des mots de passe volés et/ou faciles à deviner ». Les responsables informatiques doivent donc impérativement veiller à ce que seuls les utilisateurs autorisés puissent avoir accès au réseau et être en mesure d'agir rapidement en cas d'intrusion. De nouvelles solutions de sécurité permettent aujourd'hui de créer une piste d'audit et un enregistrement vidéo de toutes les activités des utilisateurs, y compris des fournisseurs. Les administrateurs réseaux peuvent suivre les sessions en temps réel mais également y mettre fin immédiatement, s'ils constatent que l'utilisateur a volé des identifiants et s'est connecté frauduleusement. Les entreprises ont ainsi une meilleure visibilité sur les activités des utilisateurs privilégiés sur le réseau. Elles peuvent également identifier les utilisations inappropriées ou abusives, tout en respectant les exigences en matière d'audit.


Pour être en conformité à l'échéance du 18 mai prochain, le RGPD nécessite donc : non seulement une mobilisation de l'ensemble des parties prenantes de l'entreprise, mais aussi le recours à des solutions de sécurité informatique qui leur permettent de contrôler et de prendre la main sur leur réseau afin de détecter, comprendre et neutraliser toute tentative d'intrusion dans les meilleurs délais. N'hésitez pas à faire appel à des professionnels de la sécurité pour vous accompagner dans cette phase stratégique.




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.