Certaines grandes entreprises ont ressenti de plein fouet les lois sur la protection des données en 2019 après la révélation d’une série de violations de données très médiatisées. En juillet, Capital One a été victime d’une cyberattaque interne qui lui a coûté plus de 300 millions de dollars. Le même mois, British Airways a également reçu une amende de 183 millions de livres sterling pour ses vulnérabilités JavaScript. Et alors que l’affaire est toujours en cours, l’hôtel Marriott a jusqu’à présent été facturé 99 millions de livres sterling pour des caisses enregistreuses dangereuses dans leurs établissements.
Dans cet esprit, il est clair qu’aucune entreprise, grande ou petite, n’est à l’abri des failles de sécurité et des fuites de données. Il est également clair que les instances dirigeantes prennent le RGPD très au sérieux et ne s’abstiennent pas de demander des indemnisations aux entreprises fautives. Par conséquent, il est impératif que vous fassiez tout votre possible pour rester conforme au RGPD et appliquer les changements de protection des données.
Alors que nous commençons une nouvelle année (une nouvelle décennie en fait), c’est le moment idéal pour revoir vos mesures de sécurité. Au cours de l’année 2020 et tout au long de l’avenir de votre entreprise, le volume de données que vous collectez est susceptible d’augmenter, tout comme les risques d’une cyberattaque. Pour être prêt, certaines mises à jour et modifications importantes en matière de protection des données doivent être apportées cette année. Voici comment procéder.
Continuez à former votre équipe
Une formation et des mises à jour régulières sur le RGPD sont importantes pour tout le personnel, quel que soit son niveau ou son poste. En effet, l’erreur humaine est l’un des plus grands risques pour la sécurité des données. Bien que l’erreur ou la négligence n’aient pas été intentionnelles, elles peuvent quand même vous causer des ennuis et faire face à une amende assez lourde. Il est donc préférable de prendre des précautions et de toujours améliorer la sensibilisation de votre équipe aux changements en matière de protection des données et à leurs responsabilités en tant qu’employés pour assurer la sécurité de ces données. Cela est particulièrement vrai pour les membres de votre équipe financière ou ceux qui traitent quotidiennement des données sensibles.
Surveiller l’utilisation des données et appliquer les contrôles d’accès
Si vous ne l’avez pas déjà fait, vous devez implémenter des contrôles d’accès qui restreignent l’accès aux informations sensibles et aux applications où ces données sont stockées, telles que les dossiers financiers. Cela renforce l’authentification et permet de garantir que seul le personnel autorisé à consulter ou à utiliser ces données peut y accéder. Il s’agit d’un moyen important de protéger les informations sensibles et d’éviter qu’elles ne tombent entre de mauvaises mains. Utilisez l’authentification à deux facteurs pour plus de sécurité.
Ensuite, vous devez vous assurer de surveiller l’utilisation et l’accès aux données. Cela signifie conserver des enregistrements de qui a accès à quelles informations, où les personnes y accèdent, quels appareils contiennent des données sensibles et qui utilise ces appareils. Cela peut sembler beaucoup de travail, mais cela peut vraiment vous aider lorsque vous effectuez des évaluations des risques, vérifiez des données ou trouvez la cause d’une violation.
Protégez tous les appareils et cryptez toutes les données
Le cryptage est l’un des moyens les meilleurs et les plus utiles de protéger vos données. En effet, les données cryptées sont plus difficiles et parfois même impossibles à pirater pour les pirates, donc même s’ils parviennent à accéder à vos systèmes, les données ne leur sont d’aucune utilité. Non seulement cela, mais les directives GDPR stipulent que les entreprises doivent faire tout leur possible pour protéger leurs données, y compris en utilisant le cryptage. Donc, si vous ne le faites pas déjà, vous devriez vraiment le faire ! Si ce n’est pas le cas, on pourrait prétendre que vous ne respectez pas les réglementations sur la protection des données.
Une autre façon de garantir la sécurité de vos données consiste à protéger tous les appareils de vos employés. Cela est particulièrement vrai maintenant que de plus en plus de personnes travaillent à distance ou en déplacement. Non seulement vous devez enseigner à tous les employés les meilleures pratiques pour travailler en dehors du bureau, mais cela vaut la peine d’ajouter une authentification multifacteur à leurs appareils (donc plus qu’un simple mot de passe) et de mettre régulièrement à jour leurs paramètres de sécurité. C’est également là que le cryptage des données entre en jeu, car si un employé devait accéder à un réseau non sécurisé (ce qu’il sait, espérons-le, ne pas faire de toute façon) ou perdre l’appareil, les données à l’intérieur sont toujours protégées.
Préparez-vous pour les appareils IoT
Alors que les appareils mobiles étaient autrefois la principale préoccupation en matière de protection des données, l’Internet des objets (IoT) a depuis pris le relais grâce à l’essor des appareils intelligents vulnérables. Si votre entreprise utilise l’un de ces appareils, tels que des ampoules intelligentes, des caméras ou des haut-parleurs, ils peuvent être connectés à votre réseau principal. Cela représente une autre opportunité pour les cybercriminels de se connecter à vos systèmes et d’accéder à vos données. La meilleure façon de lutter contre cela est de mettre en place des mesures de sécurité pour les appareils IoT, de désactiver les services non essentiels lorsqu’ils ne sont pas utilisés et de les connecter à votre propre réseau sécurisé.
Examiner les tiers
L’un des domaines dans lesquels de nombreuses entreprises échouent est l’analyse des tiers avec lesquels elles travaillent. Vous pouvez tellement vous concentrer sur vos efforts de protection des données que vous oubliez les personnes extérieures à votre entreprise avec lesquelles vous travaillez. Vous devez vous assurer que tous les vendeurs ou fournisseurs avec lesquels vous traitez utilisent les données que vous fournissez conformément au RGPD et qu’ils ont également mis en place des mesures de sécurité efficaces. Cela garantit que toutes les données sont partagées en toute sécurité et que les lacunes de leur sécurité ne se retourneront pas contre vous et ne mèneront pas à une brèche au sein de votre entreprise. Cela peut sembler exhaustif, mais garder un œil sur tous les aspects des modifications de la protection des données est essentiel en 2020, y compris l’audit de tous les tiers.
Sauvegardez vos données hors site
Enfin, les cyberattaques peuvent compromettre l’intégrité des données et l’exposer, c’est donc une bonne idée d’effectuer des sauvegardes hors site régulières. Cela signifie que vous aurez des copies originales de toutes vos données en cas de problème. De plus, il ne doit pas seulement s’agir d’une cyberattaque compromettant vos données, les catastrophes naturelles peuvent aussi le faire. Par conséquent, il est conseillé de sauvegarder régulièrement vos données ailleurs, soit en les stockant sur du matériel physique tel que des disques durs, soit en les téléchargeant sur les systèmes basés sur le cloud les plus couramment utilisés que nous avons aujourd’hui.