Avons-nous besoin de protéger nos entreprises du GDPR?

Les amendes peuvent apparaitre intimidantes, mais les pratiques de sécurité de base maintiennent les entreprises en conformité avec la réglementation européenne GDPR.

Protéger les entreprises à l'aide du GDPR
General Data Protection Regulation (GDPR) padlock on european union flag

Le 25 mai 2018, le règlement général sur la protection des données, mieux connu sous son acronyme GDPR, est entré en vigueur. Deux ans auparavant, le Parlement européen avait approuvé le GDPR et les entreprises du monde entier se sont efforcées de s’y conformer. Les amendes peuvent atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de la société. Il est donc judicieux d’être préparé.

Seize mois après sa promulgation, nous pouvons évaluer ce qui s’est passé. Selon Enforcement Tracker, qui maintient une liste des amendes GDPR imposées au sein de l’Union européenne, 21 pays ont appliqué des amendes:
Autriche, Belgique, Bulgarie, Chypre, République tchèque, Danemark, France, Allemagne, Grèce, Hongrie, Italie, Lettonie, Lituanie, Malte, Norvège, Pologne, Portugal, Roumanie, Espagne, Suède, Royaume-Uni

Du point de vue des entreprises, le GDPR peut représenter une double peine. Les entreprises doivent non seulement s’inquiéter de la vague sans fin de cyberattaques, mais les autorités peuvent aussi s’en prendre à elles si elles en deviennent victimes. Si nous examinons de plus près les amendes et les raisons qui les sous-tendent, nous constatons que plusieurs d’entre elles partagent les mêmes raisons qui ont entraîné ces amendes:
“Mauvaises mesures de sécurité dans l’entreprise”
“Aurait dû faire plus pour sécuriser ses systèmes”
“Manque de mesures de sécurité de base”
«Accès illimité à tous les dossiers de patients/clients»
«Mesures de sécurité insuffisantes»

Toute entreprise peut subir une violation de données. Aujourd’hui, il est important de noter que la protection des actifs incombe à chaque entreprise. Les données sont l’un des actifs les plus précieux. La plupart des attaquants s’attaquent à l’argent et, comme toute entreprise, calculent leur retour sur investissement. Si la sécurité est laxiste, les criminels peuvent voler des données à moindre coût pour un excellent retour sur investissement.

Quelques mesures simples peuvent protéger les entreprises des cyberattaques et des amendes GDPR :

Protégez tous vos appareils: vous pourriez être tenté d’installer une solution de sécurité, comme Avast Business Antivirus, sur vos ordinateurs, et c’est tout. C’est un pas dans la bonne direction, mais tous les périphériques doivent être protégés: smartphones, routeurs et tout périphérique pouvant servir de point d’entrée au réseau de votre entreprise. Tous doivent être protégés et surveillés.

Mises à jour: Assurez-vous que tous les logiciels que vous utilisez dans votre entreprise sont mis à jour. Cela inclut le système d’exploitation, tous les programmes installés, les pilotes, les logiciels, etc. Les cybercriminels utiliseront toutes les failles de sécurité connues. Encore une fois, cela ne concerne pas uniquement les ordinateurs, mais tous les périphériques connectés à votre réseau. Avast Patch Management permet de gérer facilement et de façon centralisée, l’application des correctifs sur vos machines.

Contrôle des appareils: votre réseau relève de votre responsabilité. Par conséquent, personne ne devrait pouvoir y accéder sans votre permission. Les stratégies qui définissent quand et dans quelles circonstances les périphériques peuvent entrer sur le réseau doivent être définies.

Travail à distance: il est plus courant que jamais de travailler à domicile, ce qui signifie que les entreprises permettent aux employés d’accéder à leur réseau depuis le monde entier. Les réseaux privés virtuels sont une solution sûre. N’oubliez pas d’activer l’authentification à deux facteurs pour vous assurer que même si les informations d’identification sont volées, les accès non autorisés peuvent être empêchés. Différents profils VPN peuvent être créés et attribués aux utilisateurs afin de leur donner accès aux ressources réseau dont ils ont besoin, mais pas à l’ensemble du réseau.

Poste de travail distant: dans de nombreuses entreprises, il est courant d’utiliser le poste de travail distant pour accéder à un poste de travail ou à un serveur spécifique et le contrôler depuis un autre lieu. C’est bien tant qu’il n’est accessible qu’aux personnes déjà présentes sur votre réseau interne.

Vous devez supposer que, tôt ou tard, votre réseau sera compromis. vous devez donc agir en conséquence et rechercher des activités suspectes. Vous devriez effectuer des tests d’intrusion périodiques, trouver les points faibles et suivre les recommandations pour les résoudre.

Vous ne devez toutefois pas considérer les amendes du GDPR comme inévitables. À mesure que les pays adopteront une réglementation plus uniforme, les entreprises, petites ou grandes, pourront respirer un peu plus facilement. Les bonnes pratiques en matière de cybersécurité seront récompensées. Les entreprises sûres bénéficiant d’une sécurité solide seront également en conformité avec ce qui semblait initialement une loi effrayante.

Partager sur :