Jamais, jusqu’à maintenant, la protection des données personnelles n’avait eu un tel impact sur le fonctionnement interne des entreprises. Avec la création du DGPR (Règlement Général sur la Protection des Données) qui entrera en vigueur le 25 mai 2018, les DSI sont contraints de revoir leur stratégie en matière de sécurité des données. Selon Elizabeth Denham, dirigeante de l’Information Commissioner’s Office au Royaume-Uni, le DGPR s’affirme comme « la plus grande transformation réglementaire pour la protection des données ».
Quels sont les nouveaux enjeux et les bonnes pratiques en matière de protection des données ?
A lire aussi dans notre dossier “Sécurité des données” :
Protection des données personnelles: les défis
Le renforcement des législations existantes en matière de protection des données intervient dans un contexte spécifique, où l’évolution des technologies de l’information, l’apparition de nouveaux comportements modernes et de nouvelles méthodes de travail posent d’importants questionnements en termes de sécurité.
Des pratiques telles que le BYOD (« bring your own device »), qui encouragent les employés à utiliser leur propre matériel informatique sur leur lieu de travail, augmentent non seulement la vulnérabilité des entreprises mais sème également la confusion entre les domaines de la vie privée et de la vie professionnelle.
Les DSI doivent donc faire face à des enjeux forts : compliance aux nouvelles normes, optimisation de la protection des infrastructures existantes, choix technologiques et gestion des impacts budgétaires.
Si vous souhaitez en savoir plus sur les enjeux en matière de sécurité des données pour les entreprises, téléchargez notre guide gratuit sur la sécurité informatique pour les entreprises agiles et mobiles >> je télécharge
Le SI doit devenir le rempart de la protection des données
Non seulement la DGPR induit plus de transparence, mais elle implique la responsabilité des entreprises en cas d’atteinte à la sécurité des données personnelles. Ceci engendre des contraintes plus fortes pour les DSI et leurs équipes. Le renforcement de la sécurité apparaît comme une priorité, permettant à la fois d’améliorer la détection des risques et de mettre en place un plan d’action en cas d’attaque. Les menaces sont multiples et peuvent aussi bien provenir d’un intervenant humain (hacker) que d’un programme malveillant. En s’infiltrant dans le réseau de l’entreprise, l’intrus accède aux données sensibles relatives aux clients ou aux salariés. Il peut prendre celles-ci en otage, moyennant rançon (principe des ransomwares).
Si l’infrastructure informatique est majoritairement concernée par les failles de sécurité, l’utilisation des objets connectés (vidéosurveillance, domotique) présente un risque supplémentaire.
Comment renforcer la protection des infrastructures et lutter contre le piratage des données ?
Il est possible d’agir en mettant en place des systèmes de sauvegarde et restauration.
La mise en place d’une politique d’authentification et de confidentialité plus stricte, à travers la restriction d’accès et la limitation des droits d’administration, contribue à garder le contrôle sur l’accès aux informations.
Enfin, la sensibilisation des équipes internes permet de réduire les risques liés aux comportements humains (reconnaissance des attaques de phishing, comportement en cas de compromission du poste de travail).
La protection des données dans les environnements nomades
L’utilisation accrue des Smartphones et tablettes, outils nomades qui voyagent en dehors de l’entreprise, complexifient la sécurisation des données. Les usagers peuvent se connecter sur des réseaux privés ou publics qui n’ont pas le même niveau de sécurité que ceux de l’entreprise. Sans compter que le vol ou la perte de matériel est plus fréquente.
Parmi les solutions les plus adaptées, le chiffrement des dossiers professionnels et le cloisonnement des données relatives à l’entreprise permettent de limiter les risques d’intrusion et de vol de données.
Protection des données personnelles : conclusion
Pour conclure, les nouvelles directives de la DGPR contraignent les entreprises, quelle que soit leur taille, à remettre en question leur infrastructure actuelle. Mais ces investissements s’affirment d’autant plus importants que les données sont devenus le cœur même de toute structure, véhiculant des enjeux financiers importants. En ce sens, le renforcement de la sécurité des données personnelles peut être vu comme une opportunité.
