Les amendes font peur, mais les entreprises peuvent rester conformes au RGPD grâce à quelques pratiques basiques de sécurité
Le règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Pendant deux ans (le Parlement européen l’a approuvé en 2016), les entreprises du monde entier se sont efforcées d’y être conformes. Les amendes peuvent s’élever jusqu’à 20 millions d'euros, ou représenter 4 % du chiffre d'affaires mondial de l'entreprise (c'est le montant le pus élevé des deux qui prévaut) ! Évidemment, les entreprises ont préféré se mettre aux normes.
16 mois après l’entrée en vigueur du RGPD, nous pouvons évaluer son impact. Selon l’Enforcement Tracker, outil qui répertorie la liste des amendes RGPD dans l’Union européenne, 21 pays ont infligé des amendes :
Allemagne, Autriche, Belgique, Bulgarie, Chypre, Danemark, Espagne, France, Grèce, Hongrie, Italie, Lettonie, Lituanie, Malte, Norvège, Pologne, Portugal, République tchèque, Roumanie, Royaume-Uni, Suède
Il convient de préciser que la liste fournie par l’Enforcement Tracker n'est pas complète car toutes les amendes ne sont pas rendues publiques (il faudrait peut-être changer la loi pour que toutes soient traitées de la même manière). Rien que la somme des trois plus grosses amendes s’élève à 365 millions d’euros.
Aucun secteur n’est épargné : entreprises privées, municipalités, partis politiques, hôpitaux, etc. Et aucun contrevenant non plus : grandes entreprises de médias, banques, restaurants, agents de police...
Pour les entreprises, le RGPD n’est d’aucune aide. Non seulement elles doivent se protéger contre des cyberattaques toujours plus nombreuses, mais en plus, elles peuvent être poursuivies en justice si elles en sont victimes. En regardant les amendes et leur motif de plus près, on réalise que nombre d’entre elles ont la même origine. Voici une sélection de motifs d’amende :
- « Mauvais dispositifs de sécurité dans l'entreprise »
- « Aurait dû investir dans la sécurité de ses systèmes »
- « Absence de mesures de sécurité basiques »
- « Libre accès à tous les dossiers des patients »
- « Mesures de sécurité insuffisantes »
Aucune entreprise n’est à l’abri d'une fuite de données. Aujourd'hui, il incombe aux entreprises de protéger leurs actifs, dont les plus précieux sont les données. La plupart des malfaiteurs veulent gagner de l’argent. Comme toutes les entreprises, ils calculent leur retour sur investissement. Si un système de sécurité est souple, voler des données peut requérir très peu d’investissement et rapporter beaucoup d’argent.
Quelques mesures permettent aux entreprises de se protéger à la fois des cyberattaques et des amendes du GRPD. (Il est fâcheux que pour les entreprises, les deux constituent une menace. Cela devrait évoluer.)
Protégez tous vos appareils : il ne suffit pas d’installer une solution de sécurité sur vos ordinateurs. C'est un bon début mais vous devez aussi protéger vos autres appareils : smartphones, routeurs et tout appareil pouvant être utilisé comme point d'entrée sur le réseau de votre entreprise. Ils doivent tous être protégés et surveillés.
Appliquez des correctifs : assurez-vous que tous les logiciels de votre entreprise sont à jour (votre système d'exploitation, tous les programmes installés, les pilotes, les micrologiciels, etc.). Toute faille de sécurité peut constituer un point d’entrée pour les cybercriminels. Encore une fois, il ne s’agit pas que de vos ordinateurs, mais de tous les appareils qui sont connectés à votre réseau.
Contrôlez vos appareils : vous êtes responsable de votre réseau. Personne ne devrait pouvoir y accéder sans votre autorisation. Vous devez configurer des politiques pour définir quand et dans quelles circonstances certains appareils peuvent entrer sur votre réseau.
À propos du télétravail : le télétravail est de plus en plus populaire (lorsque les entreprises permettent à leurs collaborateurs d’accéder au réseau depuis n'importe où). Pour cela, un réseau privé virtuel (VPN) est très utile. N’oubliez pas d’activer l’authentification à deux facteurs. Ainsi, même si vos identifiants sont volés, personne ne pourra accéder librement à votre réseau. Vous devez créer et attribuer différents profils VPN aux utilisateurs afin de ne leur donner accès qu’aux ressources dont ils ont besoin, et non à l'ensemble de votre réseau.
À propos du bureau à distance : de nombreuses entreprises utilisent un bureau à distance pour accéder à un poste de travail ou à un serveur spécifique et le contrôler depuis un autre emplacement. Tant qu'il n'est accessible qu'aux personnes qui font déjà partie du réseau interne, tout va bien.
Mais il faut partir du principe que tôt ou tard, votre réseau sera compromis, agir en conséquence et surveiller les activités suspectes. Exécutez régulièrement des tests d’intrusion, repérez les points faibles et suivez les recommandations pour les corriger.
Toutefois, il ne faut pas voir les amendes RGPD comme une fatalité. Petit à petit, chaque pays va appliquer les lois de façon plus standardisée et les PME pourront alors souffler. Les bonnes pratiques de cybersécurité seront récompensées. Les entreprises s’appuyant sur une solide sécurité seront également conformes à ce qui semblait au départ une terrible loi.