RGPD : impacts sur la cybersécurité de l’entreprise
Le RGPD a-t-il un impact sur la cybersécurité de l’entreprise ?
Depuis 2018, le Règlement général sur la protection des données fixe des règles strictes en matière de traitement et de sécurisation des informations personnelles. Pour répondre aux exigences du RGPD, les organisations doivent en maîtriser tous les détails. Enjeux, difficultés et responsabilités : focus sur l’impact du RGPD sur la cybersécurité des entreprises.
Sécurisation des données : un enjeu majeur du RGPD
Le RGPD a été mis en application en 2018 dans l’optique de protéger les citoyens européens et d’encadrer l’utilisation de leurs données personnelles. Il repose sur plusieurs principes, dont la transparence, la pertinence, la finalité et le respect des droits des personnes.
Un des volets de ce règlement concerne la sécurisation des données. Ainsi, les organismes qui les traitent doivent prendre toutes les mesures nécessaires pour :
- garantir une sécurité en adéquation avec le niveau de risque ;
- assurer la confidentialité, l’intégrité, la disponibilité et la résilience ;
- éviter la divulgation non autorisée.
En 2021, la CNIL a reçu plus de 5000 notifications de violations de données personnelles. Parmi elles, 43 % concernaient une attaque par ransomware. Ce chiffre est en hausse de 79 % par rapport à 2020.
Toujours en 2021, soit 3 ans après l’entrée en vigueur du règlement, l’autorité française a organisé une série de contrôles. Les défauts de sécurité les plus importants touchaient les sites web français.
Sur 21 sites inspectés, 15 ont été mis en demeure . Les non-conformités portaient sur :
- le chiffrement des données ;
- la sécurisation des comptes d’utilisateurs.
Les établissements, qu’ils soient publics ou privés, doivent être en mesure de prouver leur conformité. Le RGPD impose un changement de mentalité, car les organisations assument désormais l’entière responsabilité de la protection des données recueillies.
RGPD et cybersécurité : les devoirs des entreprises
Pour respecter les exigences du règlement, les établissements doivent mettre en œuvre une série de mesures. Ces dernières dépendent de la sensibilité de la donnée et du risque en cas d’incident. Loin d’une approche unique, chaque structure doit réfléchir aux mécanismes appropriés à son activité. Pour les y aider, le RGPD leur précise qu’elles peuvent s’appuyer sur :
- des techniques de chiffrement pour le stockage et les échanges ;
- des mesures d’authentification renforcées comme un certificat électronique ;
- des systèmes de récupération des données et de leur accès en cas d’incident ;
- des procédures pour mesurer l’efficacité des moyens techniques et organisationnels mis en œuvre.
Pour cela, les structures doivent disposer en interne de solides compétences en cybersécurité . Avant de mettre en place ce processus, une première étape est cruciale : constituer un registre de traitement de données.
Cette cartographie exhaustive permet à l’organisation d’obtenir une vision d’ensemble des informations sensibles qu’elle traite ou qu’elle sous-traite. Cela lui offre aussi la possibilité de définir précisément les contours de son SI (système informatique) à l’heure où le télétravail a rebattu les cartes. Pour rappel, l’employeur est responsable de la sécurité des données personnelles de son entreprise, peu importe le terminal sur lequel elles se trouvent.
Les obstacles à la sécurisation des données
Il est parfois complexe pour les dirigeants d’entreprise ou les DSI d’obtenir cette vision à 360°. Les causes sont multiples :
- le recours au SaaS, un environnement numérique géré par un prestataire ;
- le Shadow IT, ces logiciels installés par les collaborateurs sans l’accord du service informatique ;
- le BYOD (Bring your own device) quand les salariés travaillent sur leurs propres appareils.
D’une part, l’utilisation de terminaux non maîtrisés dans un contexte professionnel doit être réduite au minimum. D’autre part, il s’avère indispensable de recenser les applications téléchargées sur un smartphone pro sans accord du DSI. Il convient également de mettre en place des garde-fous et de consigner précisément les droits de chacun dans la charte utilisateur.
Enfin, il est essentiel d’intégrer des solutions pour renforcer le contrôle des identités et des accès en interne, mais aussi chez les sous-traitants. En effet, même si une société délègue certains processus de traitement de données, sa responsabilité reste entière. Sa politique de sécurité doit donc être globale.
« Placer la protection des données au cœur de la stratégie numérique des entreprises est la clé pour améliorer la confiance et la croissance digitale. » Steve Woods, ancien député-commissionnaire au ICO (Information Commissioner’s Office)
Continuez votre lecture
Foire aux questions sur les programmes de formation
Retour sur le projet 24h00 de CSB
