La sécurité des données n’est plus à prendre à la légère. C’est un sujet qui occupe de plus en plus de place dans les discussions gouvernementales, en entreprise et dans le privé. Oui, tout le monde est concerné, par les risques et par les obligations. Alors il est temps de prendre les devants, de s’instruire et d’investir pour la sécurité des données, les vôtres et celles de vos partenaires et clients.
La sécurité des données mise à mal par les failles de sécurité en interne.
Depuis quelques années, les entreprises font face à une augmentation significative des cyberattaques.
Détrompez-vous, une cyberattaque n’est pas quelque chose que l’on voit que dans les films ! Elles sont bien réelles et…
Nous ne sommes pas là pour vous faire peur mais pour vous amener à mieux vous protéger, que ce soit d’une perte de données ou d’un manquement au respect des règles en la matière.
Le point de départ des cyberattaques se trouve dans les failles de sécurité des systèmes d’information, qui mettent les entreprises en position de vulnérabilité. Il faut voir ces failles comme des brèches, des « portes d’entrée » pour toutes sortes d’actes malveillants. Parmi les plus connus : le ransomware, le vol de données, la diffusion de données personnelles, les virus, le chevaux de Troie, le phishing, la fraude au président… Largement de quoi ralentir, limiter voire paralyser l’activité d’une entreprise. Nous l’avons vu dans nos précédents articles, 60% des TPE-PME touchées par des ransomwares en France ne s’en relèvent pas.
Bien que les cyberattaques soient perçues comme des menaces uniquement extérieures, le risque pour la sécurité des données peut aussi être interne. En effet, il faut aussi rester vigilant sur les pratiques et la manipulation de données dans les circuits internes aux entreprises. Il existe des exemples simples, dont le risque est fréquemment mal évalué. Il peut s’agir d’une clé USB non sécurisée, comportant des données critiques, perdue dans un lieu public. La suppression maladroite de données importantes, ou encore le partage accidentel de données confidentielles… les cas sont multiples et bien moins rares que vous ne le pensez, donnant lieux à de plus en plus de contentieux. C’est pourquoi plutôt que d’en arriver là, il est judicieux de se prémunir contre toute faille éventuelle.
La sécurité des données : quels enjeux pour les PME.
Les procédures de sanction prévues par la CNIL, applicables depuis le 25 mai 2018, ont été réformées en 2022 pour faire face à la multiplication des plaintes. Les sanctions sont désormais plus adaptées aux structures de tailles petites et moyennes, dont les enjeux RGPD peuvent être moindres. La CNIL a déclaré mettre en place « une politique répressive différenciée au regard de la diversité des dossiers ». Avec cette démarche, la CNIL cherche à inciter la mise en conformité avec la règlementation, quels que soient la taille et le secteur d’activité des entreprises. A savoir que le RGPD définit une violation de données comme un incident de sécurité […], intentionnel ou non, entraînant la compromission de l’intégrité de données à caractère personnel, leur confidentialité ou leur disponibilité.
Accrochez-vous bien, car…
Il sera donc corrigé. Ce qui démontre bien la rapide évolution de la situation sur ces dernières années, et ce n’est que le début d’après les experts en cybersécurité.
Entre les cyberattaques externes, internes et les sanctions de la CNIL, l’importance, voire la nécessité de mettre en œuvre les moyens de protection suffisants tombe sous le sens.
La sécurité des données et règlement RGPD pour un business de qualité.
Si la mise en conformité en matière de sécurité des données a longtemps été considérée comme une contrainte, elle est aujourd’hui passée au rang d’avantage concurrentiel. Mais ce n’est pas le cas de tout le monde et beaucoup de TPE-PME n’ont pas encore sauté le pas. Pourtant, garantir la sécurité des données apporte un double bénéfice. Il s’agit d’une part de se prémunir contre les cyberattaques qui, nous l’avons vu, ne font qu’augmenter et touchent toutes sortes de structures. D’autre part, c’est un argument de poids pour les partenaires d’une entreprise et sa clientèle.
A l’inverse, des plaintes contre une entreprise pourraient ternir sa réputation et son chiffre d’affaire.
Alors n’hésitez plus, il n’est jamais trop tard pour vous mettre à niveau en termes de sécurité des données. Si vous avez un doute ou tout simplement pas d’idée précise de votre niveau de sécurité ou de conformité, tournez-vous vers des experts. Le domaine n’est pas évident et les connaissances populaires sont encore trop faibles. De plus, il n’est pas prudent de s’auto-évaluer pour des soucis évidents d’objectivité. Et quand nous parlons d’évaluation par des professionnels, nous ne parlons pas là de contrôle disciplinaire façon CNIL dans l’immédiat. Il s’agit d’abord de reprendre la structure de votre organisation, vos moyens de sécurité et vos points d’entrée de la donnée, afin d’identifier précisément vos vulnérabilités. L’idée n’étant pas de pointer du doigt inutilement vos faiblesses mais de vous proposer ensuite un plan d’action clé en main qui vous permettra d’y remédier.
Appréhender de manière précise et exhaustive une analyse de sécurité des données n’est pas une mince affaire et l’enjeu est crucial. D’où l’importance de faire confiance à des professionnels. D’autant qu’aujourd’hui, ce genre de services existent sous plusieurs formes et peuvent être adaptés à différentes tailles de structures. La sécurité des données n’est pas réservée aux grandes entreprises. Et si vous prenez bien conscience des risques encourus, vous n’aurez plus de doute quant au fait d’investir en amont dans une bonne solution de sécurité des données, plutôt que de devoir payer les pots cassés. Et la rigueur professionnelle ainsi démontrée ne pourra que séduire vos prochains clients !
Sources :
https://www.channelnews.fr/considere-comme-insuffisamment-efficace-le-rgpd-va-etre-corrige-122531
n°90, Le journal du Management juridique et règlementaire d’entreprises.
