Connaissez-vous réellement les mesures que vous devez prendre afin de vous conformer, d’ici le 25 mai 2018, à la nouvelle réglementation sur la protection des données? Vous avez certainement déjà entendu parler de GDPR. Si vous voulez en savoir plus, vous pouvez trouver des informations sur le site de la Commission Européenne. Mais savez-vous comment vous y prendre ? Etes-vous certain de ne pas encourir des amendes colossales ? Voici quelques conseils et idées pour vous préparer au mieux!
EST-CE QUE TOUT EST SOUS CONTROLE?
Savez-vous avec précision qui a accès à vos données? Avez-vous une totale maîtrise des pièces jointes qu’envoie un collaborateur avec un courriel? La protection des données devient encore plus difficile lorsque chacun peut travailler sur ses propres équipements et via le cloud. Il vous faut dès lors organiser votre informatique de telle sorte que vos utilisateurs puissent travailler à la fois de manière efficace et flexible et en toute sécurité. Dans le même temps, vous devez faire en sorte de pouvoir intervenir rapidement au cas où un problème surviendrait malgré tout.
CLASSIFIER LES DONNEES SENSIBLES
Avant de pouvoir protéger vos “informations sensibles”, vous devez être en mesure de classer comme telles les données concernées. Par le passé, il était encore possible de réserver un fichier déterminé aux données sensibles et de le sécuriser en conséquence. Mais qu’advient-il lorsqu’un utilisateur copie ces informations vers un autre site, les transfère via courriel, ou les utilise sur son smartphone ou sur son ordinateur domestique?
FORMER LES COLLABORATEURS
L’utilisateur final est – plus que jamais – le maillon faible de votre stratégie de sécurité. Il le sera parfois par une volonté délibérée de nuire mais, la plupart du temps, il s’agira tout simplement, de sa part, d’un comportement imprudent. Il est dès lors très important de définir des directives internes en matière d’utilisation des données et d’enfoncer constamment le clou auprès des collaborateurs. Mais cela ne suffit pas. Vous pouvez par exemple paramétrer les systèmes de telle sorte que des informations sensibles se trouvant sur un PC qui n’appartient pas à votre société puissent être consultées mais ne puissent en aucun cas être téléchargées, copiées ou transférées. Par ailleurs, les technologies d’“analytique comportemental” vous permettent de détecter automatiquement tout comportement anormal de l’utilisateur final. Il peut par exemple s’agir d’un collaborateur qui copie sur son propre ordinateur toutes sortes d’informations importantes concernant la société. De telles solutions vous permettront également de détecter un piratage, en repérant une connexion venant d’un site inconnu ou effectuée à l’aide d’un système non répertorié.
GARE AU SHADOW IT
Faire machine arrière et tout cadenasser soigneusement n’est certainement pas une solution. Cela n’a aucun sens de ne rien autoriser: non seulement, vous vous priveriez des nombreux avantages du cloud et d’un mode de travail plus souple – productivité renforcée, employés satisfaits, économies en maintenance de matériels, meilleur service à la clientèle… – mais vos collaborateurs se mettront eux-mêmes en quête de moyens détournés afin de pouvoir malgré tout accéder aisément aux informations de l’entreprise. C’est ainsi que le “shadow IT” voit le jour. Une informatique qui échappe totalement au champ de vision de votre responsable IT. Justement ce que vous ne voulez pas…
SECURITE AU NIVEAU APPLICATIF
Que faire lorsque des collaborateurs veulent utiliser leur propre équipement mobile – un iPad, par exemple – afin de pouvoir continuer à travailler, le soir ou lors d’un déplacement? Notre conseil est de ne pas organiser la sécurité au niveau de l’appareil proprement dit mais plutôt au niveau applicatif. Ce faisant, un utilisateur qui désirera ouvrir une application contenant des informations sensibles à l’aide d’un appareil inconnu devra tout d’abord introduire un code d’identification personnel. Cette solution a également des avantages pour l’utilisateur lui-même: il préfère en effet que le département informatique ne puisse pas gérer ou cadenasser son système privé à l’aide d’un code d’identification personnel. Outre la protection à l’aide d’un code d’identification personnel, vous pouvez également bloquer certaines fonctions sur des équipements privés, telles par exemple la copie ou le téléchargement de fichiers.
Vous souhaitez plus d’informations sur la GDPR? Contactez-nous!
Dans notre prochain billet de blog, découvrez comment mettre nos conseils en pratique