Cybersécurité : le risque se cache dans les détails…et les usages !

Le nouveau règlement européen sur la protection des données personnelles (RGPD ou GDPR) sur les réseaux, sera applicable dans quelques jours. En France, les entreprises quel que soit leur secteur d’activité doivent garantir la protection des données personnelles de leurs collaborateurs, de leurs clients et de leurs partenaires, avant le 25 mai 2018. Une entreprise qui met en péril les données de ses salariés ou clients peut donc en être tenue pour responsable devant la justice si elle n’a pas mis en œuvre des mesures suffisantes pour les protéger. Les contrevenants s’exposent à des sanctions financières conséquentes de la CNIL.

Au cœur de ce nouveau dispositif, on retrouve le salarié. Il en sera la clé de voute, la pierre angulaire et le principal artisan. La mise en conformité de l’entreprise reposera en grande partie sur ses usages et ses pratiques. Peu importe sa fonction et ses missions au sein de l’entreprise, il va jouer un rôle crucial dans la protection de ses données et de celles de son organisation. Les enjeux sont ici considérables. Ce chantier prioritaire est énorme et devrait être l’opportunité qui va permettre aux entreprises de se réinventer et de repenser totalement la protection des données à caractère personnel.

Encore récemment, près de 66% des failles de sécurité enregistrées dans le B2B sont le fruit de pratiques de salariés. C’est que révélait encore en 2017 une étude de Willis Towers Watson. Ce chiffre atteint 90% si on y inclut les pannes informatiques aggravées par le facteur humain. La sensibilisation et l’engagement des salariés sont ici vitaux. Prenons l’exemple de différents cas de figure afin d’analyser la manière de mieux contrôler le Shadow IT. Touchée par ce phénomène du Shadow IT, mais aussi par la nécessité d’accompagner la transformation numérique de l’entreprise, le DSI doit se repenser. Il est fondamentale de mettre en exergue une plateforme nouvelle de dialogue entre les différents métiers de l’entreprise et ses fournisseurs technologiques.

Usage d’applications de stockage et de transfert de données en ligne

le Directeur des Systèmes d’Information (DSI) ou le Responsable de la Sécurité des Systèmes d’Information (RSSI) doivent faire face à la multiplication de l’utilisation de certaines applications de partage de contenus en ligne. Ces usages se font sans consultation préalable du DSI ou du RSSI avec les conséquences que l’on peut aisément imaginer en matière de protection de données personnelles. L’usage de ces logiciels de stockage et de transfert de données, sans aucun accord des services concernés, expose l’entreprise non seulement à des pertes, mais aussi à des vols de données, des intrusions et même à des menaces de ransomware.

Le DSI/RSSI joue à la fois un rôle de garant et de conseiller sur les applications et les usages appropriés pour mener efficacement et sans risque les tâches quotidiennes. Le temps passé ensemble à choisir les outils/services adéquats sera bien inférieur à celui que le collaborateur ; ou l’équipe informatique ; passerait à récupérer des données compromises, voire irrécupérables… Les bons usages sont cruciaux pour la pérennité des données personnelles et de celles de l’entreprise.

Mobilité, télétravail et risques pour l’entreprise

La mobilité constitue l’un des facteurs majeurs de la transformation digitale de l’entreprise. Elle en est l’un des leviers en apportant aux collaborateurs des technologies de mobilité. Depuis un smartphone, on peut accéder facilement à n’importe quelle information et gérer n’importe quel système. D’un clic tout est accessible, n’importe où, n’importe quand. Cela n’est pas sans poser de sérieux problèmes de sécurité à l’entreprise. Il est important de proposer la meilleure solution possible aux collaborateurs en télétravail ou en déplacement. Les évolutions technologiques comme le cloud computing, la virtualisation, le Big Data, l’IoT, … accroissent le risque d’exposition de ces données et créent de nouvelles vulnérabilités. La solution du chiffrement des données est donc essentielle. Il en va de la protection des données personnelles des collaborateurs et de celles de toute l’entreprise. Chez Colt Technology Services par exemple, nous utilisons un réseau privé virtuel (VPN) pour proposer des liaisons sécurisées à nos collaborateurs. Bien entendu, de nombreuses solutions existent pour protéger les données de l’entreprise. De plus en plus de sociétés utilisent un module HSM (Hardware Security Module) ou « module matériel de sécurité ». Les données sont ainsi chiffrées tout au long de leur cycle de vie, aussi bien lorsqu’elles sont transférées que lorsqu’elles sont stockées.

Une bonne protection des données ne se résume pas à empêcher les intrusions mais implique une approche plus globale ciblant aussi les données elles-mêmes. Il s’agit notamment de mettre en œuvre des dispositifs spécifiques de sécurité, de se protéger contre les cyber-attaques et, le cas échéant, de prendre les mesures de remédiation qui s’imposent.

Dans tous les cas de figure, la sensibilisation à des usages raisonnés d’un SI (matériel, messagerie, services, applications, etc.) est la clé de la cybersécurité d’une entreprise. Ce sont les hommes qui la font et défont. Au-delà des outils, les efforts consacrés aux formations régulières porteront leurs fruits rapidement, et protégeront l’entreprise à plus long terme contre les ruptures technologiques incessantes qui sont autant de vulnérabilités.

Recent blog posts

Colt signe un partenariat de trois ans avec The Arctic Arts Project pour promouvoir l’action contre le changement climatique

Ce partenariat intervient dans le cadre de la mobilisation de Colt pour initier, encourager et inspirer l'action  Paris, ...
Continue Reading

Retail Renault Group rationalise sa connectivité réseau européenne

Home Blogs Cybersécurité : le risque se cache dans les détails…et les usages ! Retail Renault Group rationalise ...
Continue Reading

Colt et Proximus testent une collaboration au niveau des API et l’automatisation du Network as a Service de bout en bout

Un nouveau Proof of Concept (PoC) au banc d'essai Londres (Royaume-Uni), Bruxelles (Belgique) - le 10 juillet 2024- ...
Continue Reading