La RGPD vise à mieux encadrer la collecte de données des citoyens de l’UE par les entreprises. Néanmoins, cette mesure concerne également la sécurité liée au stockage de ces données. Les entreprises doivent donc être très vigilantes et privilégier des solutions de sécurité informatique leur permettant de détecter rapidement toute intrusion dans le réseau informatique et d’agir dans les 72 heures pour régler le problème. Au-delà de ce délai, elles s’exposent à de lourdes pénalités.
La dernière édition du Secure Access Threat Report de Bomgar révèle que 57% des salariés des entreprises sondées envoient des fichiers à des comptes e-mail personnels et que 55% téléchargent des données sur une clé ou un disque dur externe. Par ailleurs, dans 53% des entreprises, les salariés se connectent au réseau interne à partir de connexions WiFi mal sécurisées, par exemple depuis un café ou un aéroport. Le RGPD, règlement général sur la protection des données, qui entrera en vigueur en mai 2018, est destiné à standardiser les lois de protection des données au sein de l’UE, afin de mieux protéger la vie privée des citoyens.
A qui le RGPD s’applique-t-il ?
Il s’applique à toutes les entreprises basées dans l’UE mais aussi à celles amenées à traiter les données de citoyens de l’UE. Au sein d’une entreprise, le RGPD doit être appliqué par les responsables du contrôle et du traitement des données. De plus, les entreprises doivent savoir parfaitement où et dans quelles conditions les données qu’elles collectent et stockent se trouvent physiquement, surtout si elles utilisent des solutions SaaS et des environnements cloud et hybrides.
Sous peine de se voir infliger de lourdes sanctions financières pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel pour toute organisation déclarée non conforme, les entreprises doivent prendre les devants et déterminer quelles données elles ont en leur possession et comment s’y prendre pour se mettre en conformité.
Des entreprises majoritairement peu préparées
Une étude IDC, menée en mai et juin dernier, a révélé qu’à un an de l’échéance, seulement 9 % des entreprises françaises se déclaraient conformes au RGPD. Plus grave, plus de quatre sociétés sur dix (43 %), au moment de l’étude, venaient juste de prendre conscience de l’existence de ce règlement. En rendant les entreprises responsables de l’intégrité des données des citoyens, ce règlement impose notamment une vigilance accrue en matière de sécurité du système informatique. A ce titre, un des points les plus sensibles du RGPD réside dans son article 33. En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. En cas d’intrusion, les responsables informatiques ont donc 72 heures tout au plus pour en retracer l’origine et agir. Pour être efficaces, les entreprises doivent pourvoir disposer de solutions qui leur permettent de limiter les dommages, tout en étant à même de suivre l’activité complète des cybercriminels, en temps réel, en cas d’attaque.
72 heures pour agir en cas de violation des données
L’édition 2017 du rapport Verizon Data Breach Investigations précise que « dans 81% des cas de compromission résultant de tentatives de piratage, on retrouve des mots de passe volés et/ou faciles à deviner ». Les responsables informatiques doivent donc impérativement veiller à ce que seuls les utilisateurs autorisés puissent avoir accès au réseau et être en mesure d’agir rapidement en cas d’intrusion. De nouvelles solutions de sécurité permettent aujourd’hui de créer une piste d’audit et un enregistrement vidéo de toutes les activités des utilisateurs, y compris des fournisseurs. Les administrateurs réseaux peuvent suivre les sessions en temps réel mais également y mettre fin immédiatement, s’ils constatent que l’utilisateur a volé des identifiants et s’est connecté frauduleusement. Les entreprises ont ainsi une meilleure visibilité sur les activités des utilisateurs privilégiés sur le réseau. Elles peuvent également identifier les utilisations inappropriées ou abusives, tout en respectant les exigences en matière d’audit.
Pour être en conformité à l’échéance du 18 mai prochain, le RGPD nécessite donc : non seulement une mobilisation de l’ensemble des parties prenantes de l’entreprise, mais aussi le recours à des solutions de sécurité informatique qui leur permettent de contrôler et de prendre la main sur leur réseau afin de détecter, comprendre et neutraliser toute tentative d’intrusion dans les meilleurs délais. N’hésitez pas à faire appel à des professionnels de la sécurité pour vous accompagner dans cette phase stratégique.
Comment Bomgar peut aider votre entreprise à se mettre en conformité avec le RGPD
Bomgar propose une gamme de solutions sécurisées pour la gestion des accès, permettant aux entreprises de contrôler, surveiller et administrer l’accès aux systèmes et aux données sensibles, sans que cela n’impacte la productivité ni ne perturbe le fonctionnement des opérations. Bomgar permet l’accès rapide et sécurisé aux systèmes tout en protégeant les identifiants ainsi que les terminaux contre les menaces.
Avec Bomgar, vous pouvez :
- Adopter une vraie approche de la sécurité dès la conception pour vous conformer au règlement RGPD : l’architecture sécurisée de Bomgar permet d’interdire l’accès non autorisé aux données, en chiffrant les données localement et en transit
- Appliquer le principe du moindre privilège : n’accordez l’accès aux données qu’à ceux qui en ont besoin et quand ils en ont besoin, avec des contrôles d’accès granulaires
- Encadrer la prolifération des privilèges : le nombre d’utilisateurs et de comptes qui demandent à avoir accès aux systèmes IT ne cesse de progresser de façon exponentielle. Identifiez vos comptes privilégiés (y compris les identifiants dormants), protégez-les dans un référentiel central sécurisé, éliminez les mauvaises habitudes des salariés qui notent ou partagent leurs mots de passe et appliquez vos politiques de sécurité
- Conduire un audit de toutes les sessions d’accès : veillez à enregistrer toutes les sessions d’accès et l’activité de chaque session. En cas de compromission, vous aurez ainsi une piste d’audit complète et vous saurez qui s’est connecté au système pour pouvoir prendre les mesures nécessaires
- Supprimer tous les chemins d’accès point à point : l’architecture sécurisée de Bomgar bloque tous les chemins d’accès point à point à vos systèmes, sans connexion descendante, éliminant ainsi la nécessité d’utiliser des VPN
- Sécuriser et protéger tous les comptes privilégiés : les identifiants privilégiés sont stockés, renouvelés automatiquement et gérés dans un vault professionnel sécurisé, et les utilisateurs privilégiés obtiennent des niveaux d’autorisation en fonction de leurs besoins, ce qui crée un workflow fiable d’attribution des privilèges à la demande
- Eliminer toute gestion manuelle des mots de passe et les contrôles d’accès manuels : automatisez l’injection d’identifiants et instaurez l’accès sécurisé aux systèmes en un clic pour les salariés et les tierces parties dotés de privilèges
- Instaurer des règles de sécurité des données garantissant la conformité avec le RGPD : intégrez vos fournisseurs d’identité et vos règles de sécurité aux solutions Bomgar
Téléchargez notre livre blanc "Comprendre le RGPD et s'y préparer".