Accueil > Avis d'Expert > Les entreprises face la maîtrise de leurs achats...

La crise sanitaire de ces derniers mois ne doit pas faire baisser la garde des entreprises en matière de protection des données. Ainsi, le Règlement Général sur la Protection des Données (RGPD) est toujours présent dans le quotidien et ne fait pas de cadeaux aux entreprises. Qu’il s’agisse de grandes ou de petites entreprises, toute négligence en matière de protection des données peut être sévèrement condamnée. La protection des données passe par un contrôle de l’accès aux informations. La direction des Achats concentre une multitude de secrets stratégiques à l'entreprise...

Le RGPD, un signal pour toutes les entreprises.

L’arrivée du RGPD est souvent restreint à l'implémentation de mécanismes de consentements de l'internaute lors de sa visite sur un site internet. Cependant, le RGPD a un spectre trés large et toute entreprise se doit de notifier toute fuite de données, sous peine d’amendes pouvant atteindre 20 millions d’euros ou 4 % de son chiffre d’affaires mondial annuel. Ces amendes poussent les entreprises à se mettre en conformité.

Une fuite de données est un incident de sécurité - ou violation de données à caractère personnel comme défini dans le RGPD. Sa conséquence est la fuite, intentionnelle ou non, d’informations sensibles. Voici quelques exemples :

• Lors de la transmission par mail d’un rapport financier aux clients et actionnaires, le responsable financier d’une entreprise met par erreur dans la boucle une personne tierce, ou se trompe de destinataire au moment de l’envoi.
• Au cours d’un déplacement professionnel, l’ordinateur portable d’un collaborateur contenant des données confidentielles est volé ou perdu.
• Un salarié en mauvais termes avec son employeur subtilise et fait fuiter volontairement des données stratégiques.
• Un attaquant extérieur utilise des failles de sécurité pour exfiltrer des données.

Ainsi, le vol de données n'a jamais été aussi populaire. Données business, de santé, personnelles, financières, militaires, académiques,... Toutes ont une valeur importante. Une fois subtilisées, elles pourront être exploitées ou revendues.

De plus, les pirates ont l’embarras du choix quant au mode d’attaque à utiliser :

• Vol d’identifiants permettant de se connecter à des systèmes sensibles
• Découverte de mots de passe non renouvelés ou trop faibles
• Ordinateurs compromis du fait de mises à jour non appliquées…

Autant de portes d'entrées dans l'entreprise, directement accessibles, pour qui souhaite s'emparer d'informations confidentielles.

Comment se protéger ?

Se prémunir des fuites de données passe par la bonne compréhention du pourquoi et du comment. Quel que soit le degré d'approfondissement de cette phase de sensibilisation, il est indismensable de garder à l'esprit le fait qu’une fuite de données restera toujours possible, quels que soient les efforts consentis et les mécanismes de sécurité mis en place.

Afin de mieux contrôler l’accès aux données critiques différents éléments sont à prendre en compte :

• Déterminer où se trouvent les données sensibles et comment elles sont stockées.
• Savoir comment l’accès à ces données est protégé.
• Enfin, si ces données venaient à fuiter, quelles conséquences potentielles pour l’entreprise ?

Une fois ce travail d’inventaire terminé, un ensemble de mesures peut être mis en œuvre.

Contrôler les accès.

Afin de contrôler les accès auix données, différentes questions doivent se poser :

• Qui - Qui peut accéder aux données ?
• Quand - Quand peut-on y accéder ?
• Quoi - Quel nature de données est accessible ?
• Où - D’où peut-on accéder aux données ?

Une authentification multifacteur renforcera le contrôle des identités. De plus, une revue des habilitations devra être réalisé à intervalles réguliers afin de prendre en compte les départs, les arrivées et les changements de poste dans l'entreprise.

Il est indispensable de prendre en compte le fait qu’une personne habilitée à accéder aux données sensibles peut être à l’origine d'une fuite. C’est la raison pour laquelle le contrôle des accès est primordial.

Veille technologique et sensibilisation à la sécurité des données.

La veille technologique permet de repérer de nouveaux scénarios et d’en informer les équipes métiers au plus tôt. La sensibilisation des utilisateurs limitera les risques de fuites non intentionnelles.

La sensibilisation des équipes métiers sera plus efficace si elles sont mises en situation, au travers par exemple de faux mails piégés envoyés par la DSI. Dans ce cas, il est intéressant de mettre en place des situations différentes par types de métiers pour les confronter à leurs habitudes.

Organiser des exercices de fuites de données.

Pour tester le plan d’action défini par les équipes informatiques, des tests en conditions réelles sont indispensables. Plus les équipes IT réagissent rapidement, plus elles auront de chance de contenir la fuite de données à un périmètre limité.

Le Règlement Général sur la Protection des Données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées. Il est donc important d’organiser ces exercices.

Des questions doivent se poser :

• Les sources de données secondaires, comme les sauvegardes ou l’archivage, sont-elles protégées ?
• Les actifs Cloud sont-ils sécurisés ?
• Les sous-traitants appliquent-ils eux aussi les règles nécessaires ?
• Les terminaux mobiles appartenant aux employés sont-ils pris en compte dans la politique de sécurité ?

À toutes ces étapes, il est indispensable de savoir prendre de la hauteur afin de dépasser le périmètre traditionnel du système d’information de l’entreprise.