Depuis l’apparition brutale du RGPD dans notre quotidien en mai 2018, il semble que les entreprises se sont globalement bien adaptées – mis à part quelques amendes infligées à de grands noms d’entreprises Ce premier constat reflète-t-il cependant la situation réelle ou n’est-il que la partie émergée d’un iceberg beaucoup plus dangereux qu’il n’y paraît ?
Il est indéniable que, désormais, entreprises comme employés sont parfaitement sensibilisés au RGPD et au besoin de garantir la protection des données qu’ils traitent. La plupart des individus – consommateurs ou employés – comprennent également qu’ils jouissent de droits vis-à-vis des données personnelles qu’ils partagent auprès des entreprises. En tant que gestionnaires de données, nous ne détenons pas les données personnelles : nous sommes seulement autorisés à les utiliser lorsque nous disposons d’une base juridique pour le faire, et nous ne faisons « qu’emprunter » les données sous couvert d’une autorisation, tandis que ces mêmes données restent sous le strict contrôle de leurs propriétaires. Voilà qui est une bonne chose.
J’ai toutefois constaté que de nombreuses entreprises ont une définition différente du terme « sécurisation », et pourraient faire bien plus pour garantir l’intégrité et la sécurité des données. Fortra dispose heureusement d’une grande expertise dans le domaine, qui lui permet de collaborer avec des entreprises pour améliorer leur posture en sécurité des données – je reviendrai sur ce point plus tard.
Les amendes de l’ICO en vertu du RGPD
Certaines personnes avec qui je parle pensent que depuis le remplacement du Data Protection Act britannique par le RGPD, très peu d’amendes ont été infligées : cette impression est erronée, bien qu’elle existe pour une très bonne raison. Un processus défini est désormais mis en place pour signaler les soupçons de fuites de données, et une aide est même disponible pour faciliter la gestion de tels cas : c’est pourquoi ces fuites font moins la une de l’actualité.
Ce qu’il y a d’intéressant dans les fuites ayant fait l’objet d’amendes, c’est que les entreprises, mais également les individus se voient infliger des amendes.
Des amendes ont ainsi été adressées aux forces de police, au HM Revenue and Customs (Recettes et Douanes de Sa Majesté), au Crown Prosecution Service (service des poursuites judiciaires de la Couronne) mais également à quelques noms bien connus. Aussi, il convient de ni sous-estimer l’importance et la puissance du RGPD, ni de le considérer comme inefficace – bien au contraire.
Sur les 12 premiers mois d’entrée en vigueur du RGPD, plus de 200 000 rapports ont été établis et plus de 56 millions d’amendes infligés.
Une liste à jour des amendes et avis d’exécution du RGPD, publiée par l’ICO (Information Commissioner's Office), vient confirmer cette tendance :
Certains exemples ont fait les grands titres, avec Facebook, British Airways, l’aéroport de Heathrow et Google qui, entre autres fuites de données, cumulent près de 50 millions d’euros d’amendes.
Dans le contexte du Brexit, quelle est la prochaine étape ?
Alors que le UK quittera l’Union européenne (UE) le 31 décembre 2020, de nombreuses entreprises se demandent ce qui viendra ensuite.
Le reste de l’année se déroulera normalement. Le RGPD reste pleinement en vigueur, tandis que des négociations ont lieu afin d’établir une autre relation avec l’UE. Plusieurs considérations doivent s’appliquer sur la façon dont les données peuvent traversent les frontières : dans ce domaine, l’ICO est une précieuse ressource pour aider les entreprises à se préparer.
Qu’adviendra-t-il cependant à la fin de période de transition ? Si je ne peux évidemment pas prédire l’avenir, il est fortement probable que le nouveau (?) Data Protection Act adhérera pleinement aux normes établies en vertu du RGPD. Par conséquent, tant que les entreprises continueront de se conformer aux dispositions, il n’y aura rien à faire ou presque. Pour l’instant, les entreprises doivent continuer à faire tout leur possible pour garantir la protection des données en leur possession, tout en veillant à la mise en place de processus de cybersécurité en cas de fuite de données.
Comment réduire le risque de fuites de données
La première étape consiste à déterminer où se situent les vulnérabilités. Par le biais de sa marque Core Security, Fortra propose aux entreprises des services de test d’intrusion (pen test) afin d’identifier les risques et les insuffisances de leurs systèmes de défense en cybersécurité. Le pen test contribue en outre à valider l’efficacité des processus internes en cas de fuites de données.
L’étape suivante consiste à comprendre quelles informations sont partagées au sein de l’organisation et de la chaîne logistique, ainsi qu’où et comment. Les employés ont-ils recours à des applications de «Shadow IT», comme Dropbox et WeTransfer, pour transférer des informations ? Si c’est le cas, que font les entreprises pour veiller à ce que ces transferts n’incluent aucune information jugée non conforme au RGPD ? Fortra propose une solution grâce à laquelle les entreprises peuvent partager, en toute sécurité, des informations tout en maintenant protégées leurs données critiques.
En combinant la solution de transfert de fichiers géré GoAnywhere de Fortra et la passerelle Clearswift SECURE ICAP Gateway, les entreprises automatisent la détection et le nettoyage des informations soumises au RGPD. Ainsi, elles réduisent le risque d’erreur humaine tout en gardant le contrôle des informations qu’elles partagent.
Le cryptage est un moyen efficace de garantir la protection des données inactives, mais aussi de respecter les exigences du RGPD. Fortra propose une solution qui ajoute des fonctionnalités d’accès et d’administration basés sur les rôles aux informations stockées sur les bases de données IBM i. Powertech Encryption empêche les utilisateurs internes non autorisés et les pirates extérieurs d’accéder aux informations sensibles.
Autre domaine à risque : le partage d’informations par e-mail ou via Internet. Grâce à ses solutions de passerelle de messagerie et Web Clearswift, Fortra propose aux entreprises le niveau maximal de protection des données sur ces canaux – sans perturber leur activité. Basées sur un moteur d’inspection approfondie du contenu, les passerelles détectent et anonymisent en temps réel le contenu sensible entrant et sortant de l’organisation (y compris les données dans les images et les documents scannés) : les versions ainsi « nettoyées » continuent leur chemin vers leurs destinataires.
Pour terminer, les entreprises doivent avoir la certitude que leurs employés ne partagent ou ne divulguent pas des informations par le biais de périphériques amovibles. Là encore, Fortra propose une solution qui renforce la sécurité des données et la conformité des points d’extrémité. Baptisée Clearswift Endpoint Data Loss Prevention, cette solution offre aux entreprises le contrôle et la visibilité nécessaire sur les données inactives, et anonymise automatiquement les informations sensibles écrites sur ou lues depuis des périphériques comme des clés USB (données en mouvement).
Comme un iceberg immergé... ou un poisson dans l’eau ?
Votre entreprise maîtrise-t-elle complètement sa conformité vis-à-vis du RGPD ou a-t-elle encore des efforts à faire ? Quelle que soit votre situation, nous sommes heureux de vous offrir un contrôle de l’intégrité de votre sécurité (durée : 60 minutes) afin d’identifier les solutions de cybersécurité les mieux adaptées.
