RGPD : Un guide rapide pour la sécurité de vos PC et imprimantes

10/25/20186 Min de Lecture

Les conséquences d’une violation des données clients d’une entreprise peuvent être catastrophiques pour cette dernière, quelle que soit sa taille. Cela porte préjudice à sa réputation, à sa clientèle et tout cela n’est que la partie émergée de l’iceberg. Les entreprises pourraient payer le prix d’énormes amendes imposées par de nouvelles réglementations de conformité particulièrement strictes. Étant donné que les pare-feux ne suffisent plus pour protéger vos données, les entreprises doivent mettre en place des protection sur chaque équipement du réseau (des PC aux imprimantes) pour renforcer leurs défenses et satisfaire les obligations du RGPD.

Dans le monde d’aujourd’hui basé sur les technologies, la multiplication des appareils mobiles et l’augmentation du travail nomade obligent les entreprises à s’adapter aux besoins de leurs salariés. Chacun de ces appareils est un point d’accès et de sortie pour les données de la société et peut présenter un risque de sécurité. L’un des défis les plus importants auxquels les entreprises sont confrontées aujourd’hui est la manière de contrôler et sécuriser leurs données sans interrompre leurs activités. De plus en plus de données sont conservées et traitées au-delà des limites des pare-feux, rendant la tâche de sécurisation des données plus difficile pour les responsables de la protection réseau.

L’augmentation des cyberattaques a entraîné une vague de nouvelles réglementations en matière de sécurité des données qui concernent les entreprises dans le monde entier. De nouvelles directives, telles que le Réglement Général de Protection des Données de L’Union Européenne (RGPD) s’appliquent à toute entreprise recueillant des données de résidents de l’UE, même si celles-ci sont basées en dehors de l’Union Européenne.

Le RGPD de l’UE prévoit des sanctions pour les entreprises qui metteraient en péril la protection des données de leurs clients. En cas de non-respect du dispositif, les entreprises s’exposent à des amendes d’un montant allant de 2 à 4% de leur CA mondial et pouvant représenter jusqu’à 20 millions d’euros d’amende pour les infractions les plus graves.

Ces amendes viennent s’ajouter à la perte financière causée par la violation de données elle-même. D’autres réglementations, telles que La Directive sur la sécurité des systèmes de réseau et d’information (Directive NIS) imposent de nouvelles exigences en matière de réseau et d’information aux opérateurs de services essentiels et aux fournisseurs de services numériques. Les entreprises doivent à présent signaler les incidents de sécurité les plus importants aux autorités compétentes ou aux Équipes de Réponse d’Incidents liés à la Sécurité Informatique (CSIRT).

Obligations du RGPD pour les entreprises

Même les entreprises non-européennes doivent s’y plier

Le dispositif concerne les entreprises européennes mais également les entreprises non-européennes ayant un pan d’activité en Europe et traitant, de fait, des données de citoyens européens.

Sont concernées les sociétés qui achètent des marchandises et des services ainsi que celles contrôlant le comportement des clients afin d’utiliser ces informations. Par exemple, si votre entreprise surveille l’activité en ligne afin d’améliorer le ciblage de la clientèle, vous devrez sécuriser tout appareil pouvant accéder à des données de clients, . même si votre société se trouve à l’extérieur de l’U.E.

Les entreprises doivent être méticuleuses lorsqu’elles conservent des documents

Les organisations devront mettre en place des mesures techniques et organisationnelles appropriées pour garantir que seules les données nécessaires soient collectées, traitées et conservées

Chaque fois qu’un nouvel appareil est ajouté au réseau, il doit être sécurisé et contrôlé par un outil de SIEM (security information and event management) pour assurer la traçabilité des activités web et mobiles, et recueillir des données à analyser et investiguer en cas de fuites.

Les entreprises doivent signaler une infraction dans les 72 heures

Les entreprises doivent immédiatement informer l’autorité de contrôle compétente sous 72 heures. Dans le cas contraire, une explication motivée doit être fournie. L’organisation doit aussi prévenir le propriétaire des données en cas de violation. Cette obligation a pour but de protéger le droit des particuliers à avoir connaissance de toute activité concernant leurs données personnelles et à pouvoir juger si les entreprises qui détiennent leurs données utilisent bien les procédures, les outils et les produits nécessaires pour monitorer, identifier les risques et stopper les attaques.

Les entreprises doivent payer de lourdes amendes si elles ne respectent pas ces normes

Le RGPD instaure une approche progressive des amendes et la gravité de l’infraction dictera leur montant. L’amende maximale à payer peut s’élever à 4 % du chiffre d’affaires annuel d’une société, jusqu’à un plafond de 20 millions d’euros 1. Comme cela est indiqué dans certains pays comme les Pays-Bas, des amendes encore plus élevées ont été introduites – jusqu’à 11 % des revenus annuels 2.

Trois mesures à prendre pour garantir que les PC et imprimantes sont conformes

Concernant la sécurité de PC et des imprimantes, il existe des mesures à prendre afin de vous assurer que vos équipements sont conformes aux réglementations.

1. Se préparer pour les audits de conformité

Pour préparer tout audit de conformité, les équipes informatiques doivent s’assurer qu’elles peuvent contrôler efficacement toute leur infrastructure, y compris les PC et imprimantes. Elles doivent par ailleurs évaluer régulièrement si chacun des équipements du réseau, dont la flotte d’imprimantes, reste conforme aux réglementations.

2. Réaliser un audit complet

Les équipes informatiques doivent pouvoir identifier chaque appareil pouvant accéder aux données des clients et évaluer le niveau de sécurité en place. Il leur est également recommandé d’utiliser un outil de gestion de sécurité du parc pouvant immédiatement identifier les nouveaux appareils et appliquer automatiquement les paramètres de politique de sécurité d’entreprise.

3. Inclure la sécurité dès la conception

Les organisations doivent intégrer un principe de protection des données dès la conception d’un traitement (Privacy by design) et par défaut (Privacy by default).

Il s’agit de prendre en compte le plus en amont possible les règles relatives à la protection des données personnelles, et ce dès la conception des produits, services et systèmes exploitant des données à caractère personnel.

Assurez-vous d’être en mesure de contrôler chaque appareil, y compris vos imprimantes, et que tout signal d’incident alimente soit un système de detection des vulnérabilités sur le réseau, soit des outils de contrôle comme un SIEM.

1 http://www.eugdpr.org/the-regulation.html

2 https://autoriteitpersoonsgegevens.nl/en

Admin Istrator 10/18/2018 4 Min de Lecture

Imprimez-vous en toute sécurité?

Protéger les données contre les pirates, les menaces internes et les tiers malveillants n'a jamais été facile. L'Internet des Objets (IoT) a donné aux...

Tektonika Staff 08/09/2018 6 Min de Lecture

La cyber-sécurité exploite l’apprentissage automatique pour …

Les chercheurs font rapidement progresser les capacités des intelligences artificielles, de sorte à assurer la surveillance constante et proactive...

Tektonika Staff 08/02/2018 6 Min de Lecture

Prévenir ou guérir : comment utiliser des ressources limitées en m…

Alors que les cyberattaques se font de plus en plus complexes, un débat animé fait rage au sujet des meilleures stratégies de défense. Michael Keller,...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs requis sont marqués d'un astérisque *.