Cinq conseils pour une sécurité des données conforme au RGPD

Lors du lancement du nouveau Règlement Général sur la Protection des Données (RGPD) en mai de l’an dernier, l’aspect vie privée (opt-in, politiques de confidentialité, …) était prépondérant. Depuis lors, on a constaté un manque de clarté évident quant à la manière correcte et sécurisée dont les données doivent désormais être traitées.

Nous passons ici en revue cinq mesures concrètes relatives à la sécurité des données qui peuvent aider votre département informatique non seulement à traiter les données personnelles, mais aussi à soutenir l’ensemble des opérations de l’entreprise et à les conformer au RGPD.

gdpr_it_artikel-1_780x520

1. Une politique interne de confidentialité et de sécurité

Comment répondre aux demandes d’accès aux données des clients, des employés, etc. ? Quelles mesures prendre en cas de fuite de données ? Quelles données peuvent ou non être traitées et conservées ? Voilà autant de questions que peuvent vous poser vos collègues. En outre, les mêmes questions reviennent souvent. Débarrassez-vous de toutes ces interrogations en établissant une politique de confidentialité et de sécurité accessible à tous. Dans ce type de politique, vous répondez aux questions les plus importantes sous forme d’un plan concret étape par étape. Vous donnez ainsi à vos collègues les outils nécessaires pour traiter à tout moment les données de manière correcte et sécurisée.

Conseil ! Veillez à ce que tout le monde sache quoi faire lorsqu’un problème se pose. Un exercice ‘catastrophe’ annuel peut y contribuer.

2. Contrôler les droits d’administration et les comptes administrateurs

Vos collègues peuvent installer n’importe quel programme sur leur ordinateur ? Tout le monde a accès à tous les dossiers et sous-dossiers du serveur ? Voilà un risque sérieux pour la sécurité ! Il est important de vérifier régulièrement les droits d’accès et les comptes administrateurs de vos collègues. La raison en est simple : en contrôlant et en limitant le nombre d’administrateurs dans un environnement donné, vous réduisez les risques de fuites de données et d’abus. Ne soyez donc pas trop prodigue en accordant les droits d’administration et d’accès. Mais ne donnez pas non plus tous les droits à une seule personne, car elle sera la cible favorite des pirates informatiques.

3. Réaliser des sauvegardes en temps utile, mais surtout intelligemment

Cela semble logique, mais vos collègues l’oublient parfois ou le reportent à plus tard. Dans le cadre d’une récupération après sinistre et de cryptolockers, il n’est pas superflu d’effectuer des sauvegardes sur une base quotidienne. Idéalement, il faudrait les stocker à un autre endroit que sur votre réseau. Par ailleurs, optez aussi pour un système de sauvegarde robuste qui permet de restaurer rapidement vos données. Une solution cloud bien sécurisée est parfaite pour cela.

Conseil ! Voyez combien de temps il est nécessaire de conserver les sauvegardes en interne. Selon le RGPD, il faut donner une raison valable susceptible de justifier cette période de conservation. Réfléchissez donc bien à tout cela !

4. Two-Factor Authentication

En raison de la forte augmentation de l’hameçonnage, du piratage et autres contournements de mots de passe, de nombreuses entreprises se tournent vers la Two-Factor Authentication (2FA). La 2FA est une méthode d’authentification qui oblige l’utilisateur à passer – avec succès – par deux étapes pour avoir accès à quelque chose. Le mot de passe et le nom d’utilisateur habituels sont conservés, mais une authentification supplémentaire s’y ajoute, via un message push sur votre téléphone mobile, un scan d’iris, …

En utilisant une 2FA, aucun accès n’est accordé en cas d’oubli du mot de passe ou par piratage, simplement parce que pour accéder aux données, le hacker a besoin d’autres moyens en plus du nom d’utilisateur et du mot de passe.

5. Crypter les données

Le cryptage est une méthode essentielle pour sécuriser les données. Les données cryptées sont totalement illisibles si l’on ne dispose pas de la bonne clé. Vous empêchez ainsi les personnes non autorisées de consulter, utiliser ou envoyer des données (personnelles). Avec certains logiciels tels que Microsoft Bitlocker, vous pouvez facilement crypter et décrypter les données.

Conseil ! Documentez les mesures que vous prenez pour crypter ou sécuriser vos données. Selon le RGPD, en cas d’incident, vous devez être en mesure de démontrer que vous avez pris les mesures nécessaires.

Quelles applications utilisez-vous ?

Certaines de ces applications sont sans doute familières pour votre département informatique. Mais les utilise-t-on pour autant ? La législation européenne en matière de protection de la vie privée – dont le RGPD – sera encore renforcée dans les mois et les années à venir. Veillez donc à ce que votre département y soit bien préparé et prenez les mesures nécessaires en temps utile.

 

 

  72