Comment les entreprises peuvent-elles mieux protéger leurs données ?
Les dernières semaines ont une fois de plus souligné l’importance d’investir dans des systèmes de cybersécurité et de protection des données efficaces. Certains en ont déjà fait la douloureuse expérience, les pirates ont bien compris que les données sont le nouvel or numérique.
Le collectif de hackers Play a, par exemple, pénétré dans les systèmes informatiques de la ville d’Anvers et menacé de publier les données personnelles de milliers d’habitants si une rançon n’était pas payée. La ville n’a certes refusé de payer la rançon, mais elle a estimé le coût des dégâts de l’attaque à plusieurs millions d’euros. Outre cette perte financière, il va sans dire que la réputation des autorités locales en a pris un coup.
Malheureusement, le cas d’Anvers n’est qu’un exemple parmi tant d’autres. Chaque jour, des administrations, des collectivités locales et des entreprises sont victimes d’attaques similaires. Mais toutes les menaces ne viennent pas de l’extérieur. Récemment, un employé d’une grande banque belge a permis à des tiers d’accéder à des données de clients et la banque a dû signaler une violation de données à la Commission de la protection de la vie privée.
À l’occasion de la Journée européenne de la protection des données, le 28 janvier, nous nous sommes entretenus avec Emilie Toth Jensen, conseillère juridique et DPO (data protection officer) chez Penneo.
La RegTech scandinave est spécialisée dans la signature numérique de documents et l’automatisation des processus d’envoi et d’archivage associés. Elle offre une protection maximale des données qu’elle traite, un facteur primordial pour gagner et conserver la confiance de ses clients.
Penneo offre, par exemple, aux comptables une solution SaaS pour automatiser la signature des rapports annuels et des comptes. Grâce à son logiciel, des centaines de milliers de documents confidentiels (qui ne doivent être lus et manipulés que par les personnes autorisées) sont traités chaque année.
L’entreprise met tout en œuvre pour sécuriser au mieux les données stockées, tant sur le plan numérique que physique. Elle utilise notamment le cryptage AES256, afin qu’en cas de piratage lors de l’échange de données numériques entre les différents intervenants du processus, les cybercriminels ne puissent pas lire les données.
Les 8 conseils d’Emilie Toth Jensen pour vous aider à protéger vos données
1. Limitez l’accès aux données
Cela peut sembler évident, mais au sein de votre organisation, veillez à permettre aux collaborateurs d’accéder à des informations non publiques uniquement en cas de nécessité. Faites l’inventaire des droits d’accès de chacun et demandez-vous périodiquement si les droits d’accès existants sont toujours réellement nécessaires pour qu’une personne spécifique puisse faire son travail.
2. Cryptez vos données
Le cryptage des données est le meilleur moyen de les protéger. Le cryptage est un processus qui convertit les données en un format illisible sur la base d’un algorithme. Seules les personnes autorisées peuvent décoder et lire les données cryptées. Même si les données sont volées, elles sont inutilisables et ne présentent donc pas d’intérêt pour les hackers.
3. Prévoyez une politique de confidentialité
L’humain est bien souvent le maillon faible des processus de sécurité. Les travailleurs n’ont généralement pas conscience du danger des violations de données lorsqu’ils manipulent et sauvegardent leurs fichiers. Il est donc crucial de sensibiliser régulièrement le personnel à cette question et de s’assurer qu’il existe un ensemble de directives claires et applicables en matière de sécurité des données. Veillez à ce qu’elles soient sans ambiguïté, afin qu’il n’y ait aucun doute sur la manière de procéder. Vous pouvez ainsi éviter les violations de données dues à une erreur humaine et vous assurer que vous vous conformez aux exigences légales en matière de traitement des données.
4. Adoptez une politique de conservation des données
Le principe de base d’une politique de conservation des données est de ne conserver les données que le temps strictement nécessaire aux finalités de votre entreprise. Plus vous conservez de données, plus il devient difficile de les protéger.
Ce principe de base et la mise en œuvre d’une politique de conservation des données sont d’ailleurs imposés par la réglementation RGDP.
Une politique de conservation des données permet également de s’assurer que les membres de votre entreprise :
1. réfléchissent à quelles données conserver et pendant combien de temps ;
2. savent comment supprimer ou détruire correctement les données lorsqu’ils n’en ont plus besoin.
5. Élaborez et mettrez en œuvre un programme de cybersécurité
Assurer une sécurité adéquate de vos systèmes informatiques, de vos flux de données et de vos bases de données est essentiel pour garantir la confidentialité, la disponibilité et l’intégrité de vos données.
Un tel programme de cybersécurité est bien entendu personnalisé et varie d’une organisation à l’autre. Il s’agit souvent d’une combinaison de bons programmes antivirus, de pare-feu, de systèmes de détection d’intrusion, d’authentification multifactorielle et de mises à jour des logiciels. La formation du personnel à la cybersécurité y a également sa place.
Ce programme n’est évidemment pas statique car le monde numérique évolue rapidement et les pirates recherchent sans cesse de nouveaux moyens de pénétrer dans les systèmes. Il est donc très important de suivre ce qui se passe dans le cyber-paysage afin de pouvoir renforcer ou améliorer vos mesures de sécurité en temps utile.
6. N’oubliez pas les mesures de sécurité physique !
La plupart des violations et vols de données se produisent en ligne : les risques de se faire prendre sont tout simplement beaucoup plus faibles pour les criminels lorsqu’ils mènent leur attaque derrière leur ordinateur portable dans un pays lointain.
Mais vous n’êtes pas pour autant à l’abri de vol de documents physiques contenant des données sensibles. Il faut donc aussi veiller à ce que ces documents soient correctement protégés. Les principes sont les mêmes que pour les données numériques. Veillez à ce que seules les personnes autorisées aient accès aux documents papier, en les conservant dans des pièces ou des armoires fermées à clé. Sécurisez vos bureaux avec un système d’alarme, installez des caméras de sécurité et prévoyez un contrôle d’accès.
N’oubliez pas non plus que de nombreux vols de données se produisent de l’intérieur. Il n’est pas exceptionnel qu’un employé quittant l’entreprise imprime rapidement son portefeuille de clients ou le télécharge sur une clé USB. Assurez-vous donc également que cela ne soit pas possible.
7. Non-Disclosure agreement (NDA) et Data protection agreement (DPA)
Le partage de données ou d’informations confidentielles est souvent inévitable dans le cadre professionnel. Vous devez donc vous assurer que les données sont partagées de manière sûre et conforme à votre politique de traitement des données.
Pour garantir contractuellement que les données partagées dans le cadre des relations commerciales resteront confidentielles, vous pouvez utiliser des accords de non-divulgation. Ceux-ci doivent définir les éléments qui seront partagés, la personne responsable de la sécurité des données et les mesures que le destinataire doit mettre en place pour respecter vos normes de sécurité. Incluez toujours une clause stipulant que le tiers ne peut pas rendre les données publiques ou les partager avec des parties non liées.
Un bon moyen de partager physiquement des données en toute sécurité consiste à utiliser des documents protégés par un mot de passe, des courriers électroniques cryptés ou des plates-formes qui obligent les utilisateurs à s’identifier avant de pouvoir accéder aux données.
Documentez ces obligations contractuelles et ces mesures de sécurité dans un NDA pour les prospects ou les transactions particulières. Pour les relations commerciales continues ou les projets en cours, nous vous recommandons d’intégrer ces obligations dans vos accords de traitement des données.
8. Automatisez et numérisez avec un partenaire fiable
Comme déjà mentionné, l’erreur humaine est encore souvent la cause des violations ou des fuites de données. La manipulation de nombreux documents physiques augmente également le risque. Pensez aux documents mis à la poubelle au lieu d’être détruits. Ils finissent souvent dans la rue à la portée de n’importe qui.
Par conséquent, investissez dans un logiciel qui automatise les processus administratifs et minimise le besoin d’intervention humaine, qui garantit que les données sont cryptées et ne peuvent être consultées qu’après identification des personnes autorisées. Les fournisseurs tels que Penneo sont des spécialistes du domaine et disposent d’experts qui suivent quotidiennement l’évolution de la sécurité des données et adaptent leurs solutions si nécessaire. Ils ont également un intérêt commercial à s’assurer que tout est correctement mis en place, car la fiabilité est au cœur de leur offre.