Ce contrat de «sécurité», vous l'avez avec toutes les personnes qui utilisent ou développent vos services.
Si par le passé ce contrat était avant tout implicite, il devient de plus en plus explicite, réglementaire et contraignant.
Votre premier objectif sera donc de définir ce que vous souhaitez atteindre en terme de sécurité des données, afin de mettre en place toutes les actions pour y parvenir.
Dans cet article, nous vous présentons 5 conseils à suivre et à connaître pour assurer la sécurité de vos données dans votre entreprise.
Pour déterminer l'effort à produire en terme de sécurisation des données, il est nécessaire d'avoir une vision éclairée de la situation actuelle.
Prenez le temps de vous poser ces questions :
Prenons l’exemple de Windows XP, dont le code a récemment fuité sur Internet.
Ce cas est un excellent exemple de problématique de sécurité des données. Cette fuite va permettre à de nombreuses personnes malveillantes d’analyser le code, et de rechercher des failles de sécurité, d’autant plus que Windows XP ne reçoit plus de mises à jour de sécurité depuis 2014. Les personnes utilisant actuellement Windows XP se retrouvent donc vulnérables.
De nos jours, il n'est plus envisageable de laisser votre système d'information figé dans le passé !
La sécurité évolue ! Par exemple, le web devient progressivement accessible uniquement au travers d'HTTPS, forçant ainsi le transit des informations sous forme chiffrée.
Vous devez vous adapter, et prendre les précautions et mesures nécessaires pour assurer la sécurité de vos données.
En matière de sécurité vous devez toujours garder en tête la loi de Murphy :
Tout ce qui est susceptible d'aller mal, ira mal.
L’un des enjeux fondamentaux de la sécurité des données, est de savoir ce que vous feriez si un problème arrivait.
Si ce n’est pas déjà fait, vous devez établir un plan de gestion des risques, qui vous permettra de savoir, étape par étape, les actions que vous devez suivre en cas de problème.
L’une de ces étapes, sera de communiquer aux personnes concernées le fait que leurs données aient fuitées.
Notre conseil :
Si vous devez faire face à une problématique de faille de sécurité, nous vous conseillons de ni improviser, ni de tenter de dissimuler les informations. Souvenez vous du tollé provoqué par l'affaire Cambridge Analytica !
Établissez au préalable un plan de gestion des risques, et suivez-le étape par étape.
Je le disais en introduction, le contexte réglementaire est de plus en plus contraignant, et cela n'ira pas en s'atténuant.
Certains sujets sont largement couverts, comme celui du RGPD par exemple, ce qui occasionne également des problématiques pour les entreprises qui ont parfois du mal à trouver la bonne information.
D'autres sujets reçoivent beaucoup moins de presse. C'est le cas par exemple de la récente invalidation du Privacy Shield qui a eu lieu en juillet 2020. Celle-ci interdit le transfert de données personnelles entre l'Europe et les Etats Unis.
Si votre application recueille des données personnelles en étant hébergée aux US, vous pouvez être concerné. Ce qui est assez probable si vous passez par un fournisseur de cloud type AWS ou GCP, et que vos infrastructures sont situées dans une zone des États-Unis. Vous pouvez même être concerné dans le cas plus simple où vous utilisez des systèmes types Facebook Connect pour authentifier vos utilisateurs.
Notre conseil :
Les obligations légales évoluent, c’est pourquoi, il est important pour votre entreprise de rester en veille permanente.
Si les entreprises se retranchaient face au caractère non dissuasif des amendes de la CNIL, la situation a aujourd’hui bien changé.
Rien que pour le RGPD, le montant des sanctions peut s’élever jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise internationale, jusqu’à 4 % du chiffre d’affaires annuel mondial.
Autant dire que prendre le temps d'auditer votre situation ne pèse pas lourd à côté des risques encourus.
Les internautes sont de plus en plus sensibles et informés sur les problématiques de confidentialité des données et de vie privée.
Ce n'est pas un hasard si des marques aussi puissantes qu'Apple en ont fait un argument marketing de premier ordre.
En étant proactif sur le sujet de la sécurité des données, vous pouvez bénéficier d’une communication positive auprès de vos clients et employés.
Vous l'avez compris les risques sont réels. Même si à l'impossible nul n'est tenu, vous devez être dans une démarche d'amélioration continue de votre politique de sécurité des données en suivant les étapes suivantes :
Analyser (audit, veille), mesurer (les risques), améliorer, répéter.
