Vous avez récemment lu notre première partie dans la série « Optimiser vos TIC dans le cadre du RGPD », dans laquelle nous avons mis l’accent sur votre infrastructure TIC et les appareils au sein de votre organisation. C’est aujourd'hui au tour de la partie 2, dans laquelle nous allons examiner vos données, les utilisateurs et les étapes suivantes à entreprendre.
Les livres/vos données
Nous voici à l'image de la bibliothèque. Vos données. Plus les appareils ou l'infrastructure, mais les données.
Aperçu et inventaire
Cela peut sembler un peu trivial. Mais tout revient à savoir quelles données vous avez et où elles se trouvent. C’est également la raison pour laquelle le RGPD accorde une telle attention au registre des données. Vous pourriez imaginer que si votre forteresse et votre cheval de trait sont suffisamment sécurisés, vos données le seront également. Ce n’est malheureusement pas le cas. Les informations peuvent par exemple facilement être envoyées vers l’extérieur (e-mail ou simplement partage de l’accès). Lorsque c’est le cas, de manière intentionnelle ou non, vous n’aurez, sans adaptation supplémentaire de vos TIC, plus aucun contrôle sur ce qu’il adviendra de ces données. Qui a accès aux données, à quel moment, à partir de quel endroit, pour quelle raison, etc. ? Vous devez en fait être en permanence en mesure de répondre à ces questions.
Vous disposez normalement de deux formes importantes de données. Les données structurées et les données non structurées. Nous allons examiner chacune séparément.
Données structurées
Les données structurées sont des données qui se trouvent généralement dans l’une ou l’autre base de données. Il s’agit donc de vos données clients dans votre application comptable ou système CRM. Mais les données de vos collaborateurs dans l’application cloud de votre secrétariat social relèvent par exemple aussi de cette catégorie.
Il est surtout important que vous connaissiez la position de chaque donnée et que vous soyez en mesure de contrôler qui a accès à ces données et ce qu’il en advient. Dans ce cas également, il est préférable d'opter pour un chiffrement à la source. Ce qui signifie que les supports de données sur lesquels la base de données se trouve, mais aussi, de préférence, aussi la base de données. Si vos données se trouvent dans le cloud, vous devrez demander des garanties à votre fournisseur.
Données non structurées
Avec les données structurées, tout est encore relativement simple. Elles se trouvent dans un système et vous pouvez y appliquer des règles. Dans le cas des données non structurées, il est nettement plus compliqué de savoir où elles se trouvent précisément et qui y a accès et quelles données s’y trouvent précisément.
Ici également, un inventaire approfondi est à prévoir. Mais heureusement, la technologie va si loin qu'il est aussi possible d’accorder aux données non structurées une étiquette (archivage, chiffrement, suppression, etc.). La technologie sera donc certainement utile en plusieurs plans. Si vous disposez d'une version entreprise d’O365 par exemple, vous aurez probablement déjà une foule de ces choses à portée de main. Reste à les utiliser.
Concrètement
L’identification est donc une chose. Mais que pouvez-vous faire concrètement maintenant ? Le chiffrement et un contrôle correct des accès sont un bon début. Au niveau des données structurées, ils se feront généralement en concertation avec la partie logicielle qui structure les données. Au niveau des données non structurées, ils se feront à l’aide d’étiquettes sur la base desquelles certains éléments seront automatiquement appliqués aux fichiers (dans Office par exemple) ou aux e-mails. Ils pourront ainsi être automatiquement chiffrés ou il pourra être veillé à ce qu'ils ne soient pas lisibles en dehors de votre organisation.
Un autre élément très concret consiste également à supprimer les données dont vous n’avez plus besoin. Il est possible de le faire aussi bien au niveau des données structurées (Aurelium a par exemple supprimé près de 20 000 contacts) que des données non structurées.
Et réfléchissez bien à quelques interventions relativement simples. Vous pouvez par exemple parfaitement convenir que les titres des e-mails internes envoyés au sein de votre entreprise commencent toujours par « Interne - ... ». Si vous arrivez à ce que vos collaborateurs le fassent, vous pourrez alors par exemple veiller qu’au niveau de votre périmètre de protection (pare-feu ou serveur mail), les e-mails utilisant cette combinaison dans leur objet ne soient pas envoyés vers l’extérieur. Vous veillerez ainsi en outre à ce que certaines informations internes ne soient pas envoyées par inadvertance à des personnes de contact externes.
L’utilisateur/votre identité
Une fois tous les éléments susmentionnés au point, il ne restera qu'un seul maillon faible. L’utilisateur Nous avons implémenté à tous les niveaux différentes mesures de sécurité, mais tout comme vous avez la clé pour déverrouiller la protection physique de votre maison ou bureau, votre utilisateur a la clé de déverrouiller vos données. Et c’est également une nécessité, car votre utilisateur ne serait sinon pas en mesure d’utiliser ces données.
Un autre problème à cet égard est la sécurité accrue qui sera aussi souvent perçue par vos utilisateurs comme un frein à la flexibilité et à la convivialité de vos systèmes TIC. Mais cela ne peut être une raison pour ne pas élever la protection à ce niveau. La technologie est dans l'intervalle devenue si avancée qu'une protection accrue n’est pas nécessairement perçue comme un frein majeur par les utilisateurs.
Qui est-ce ?
C’est un jeu légendaire. Mais vos données d’entreprise n’en sont pas un. Vous voulez (et le devez, en cette époque du RGPD), savoir qui a accès à votre réseau et à vos données. Un contrôle d'identité précis est dès lors crucial. Vos données sont souvent accessibles depuis n’importe quel endroit. Il est donc impossible de contrôler physiquement qui se trouve dans votre forteresse et a donc accès à vos données.
Les mots de passe, révolus ?
Généralement, le contrôle des accès se fait à l’aide d’une connexion (combinaison entre nom d’utilisateur et mot de passe). Ce mot de passe a déjà été abordé maintes fois sur des blogs (également sur nos sites), dans des études scientifiques mais est aussi et surtout une source de frustration pour de nombreux utilisateurs (surtout en ce qui concerne les exigences minimales et le changement obligatoire de mots de passe).
Heureusement, il existe à l’heure actuelle des évolutions qui ne nécessitent plus l’utilisation (seule) d'une combinaison entre un nom d’utilisateur et un mot de passe (et donc la gestion correcte de vos utilisateurs avec ce mot de passe).
C’est le moment idéal d’utiliser l’authentification multifacteur. D’ajouter quelque chose à la combinaison nom d’utilisateur et mot de passe. Il peut par exemple s’agir d'un SMS qui est envoyé à un numéro de GSM, d’une application sur le smartphone sur laquelle vous devez cliquer avant d’accéder à un contrôle biométrique (empreinte digitale, lecteur d’iris etc.). Ce n’est depuis longtemps plus de la science-fiction, et la technologie est devenue abordable même des plus petites entreprises, grâce à la technologie cloud. Il ne sera alors plus vraiment nécessaire de modifier votre mot de passe tous les trois mois. Au contraire : les grandes entreprises du secteur de la technologie recommandent de ne plus le faire, mais de travailler avec un seul mot de passe (de préférence difficile à deviner) qui ne doit plus être remplacé fréquemment mais est complété par un élément d’authentification multifacteur.
Connexion avec gestion centrale
Essayez également de veiller, dans votre environnement, à ce que vos utilisateurs aient accès à ce dont ils ont besoin avec un seul compte. Sur la base donc d’un seul compte (sécurisé avec une authentification multifacteur). Plusieurs avantages en découlent. Tant pour vous en tant que gestionnaire et responsable, que pour votre utilisateur. Il ne doit en effet plus retenir (ou écrire, ce qui est irresponsable) l’identifiant pour le PC, l’identifiant pour l’application CRM et l’identifiant pour le site de commande du fournisseur, etc. Son identité ordinaire suffit toujours.
L’avantage que vous en tirez en tant que gestionnaire est aussi évident. Lorsque tous les accès nécessaires sont accordés par le biais d’un seul compte/d'une seule identité, il peut également être retiré par le biais d'un seul compte/d’une seule identité. Quiconque a déjà dû exécuter une procédure de sortie afin de retirer à un utilisateur TOUS les droits sur TOUS les environnements dans lesquels se trouvent des données dont les collaborateurs ont besoin pour exécuter leur travail me comprendra.
Un homme averti...
Veillez également pour terminer à ce que vos utilisateurs, le dernier maillon, le plus faible (car humain) de la protection sachent parfaitement ce qu’ils font. Expliquez leur les risques de certains comportements. Si vous imposez des exigences minimales pour les appareils qui peuvent être utilisés, indiquez-en la raison de l’importance.
Veillez aussi à ce que vos utilisateurs sachent utiliser correctement les outils et logiciels fournis. Des risques de sécurité sont souvent créés de manière inconsciente, par ignorance. Toutes les adaptations et tous les investissements au niveau de la protection de votre forteresse, de votre cheval de trait et des données seront alors vains...
Vous n’en aurez jamais fini...
Terminons par quelques mauvaises nouvelles... Pour arriver à une infrastructure bien sécurisée, également conforme au RGPD, vous devrez donc agir à différents niveaux. On distingue au sein de votre entreprise 4 domaines importants que vous devez avoir et, malheureusement, garder en ordre. Vous n’en aurez donc jamais fini...
- L’infrastructure centrale - votre forteresse
Probablement le domaine le plus classique. Suffisamment protéger votre infrastructure centrale. À l’instar de tout ce que vous faites à votre domicile ou votre bureau, le cœur et la base de votre infrastructure informatique doivent être en ordre. Qu’elle soit entièrement locale, dans le cloud ou hybride, veillez à ce qu’elle soit en ordre sur tous les fronts.
- Vos appareils - vos chevaux de trait
Veillez ensuite à ce que tous les appareils clients soient conformes aux exigences de sécurité nécessaires. Le chiffrement lorsque possible, un antimalware fonctionnel et des configurations de base sûres sont une nécessité. Imposez aussi ces exigences minimales sur le plan technique. En d’autres termes, évitez que les appareils qui ne sont pas entièrement sûrs puissent accéder à votre réseau et à vos données.
- Les données - vos livres
Appliquez également une sécurité suffisante au niveau des données proprement dites. Sachez qui a (besoin d'un) accès à quel moment à quelles données et contrôlez ces accès. Faites-le aussi bien pour les données structurées que pour les données non structurées.
- L’utilisateur - votre identité
Veillez pour terminer à savoir à qui vous donnez les clés de l’accès à votre environnement sécurisé. Et surtout à avoir la garantie que les personnes détenant les clés sachent également comment les utiliser. Qu'elles soient en mesure d'évaluer correctement les risques et dangers, de signaler les problèmes et de ne pas être le maillon le plus faible de votre sécurité.
- Installez, contrôlez, actualisez, utilisez correctement, mettez à jour...et recommencez...
Et voici la moins bonne nouvelle... Vous n’en aurez jamais fini. Après avoir identifié et optimisé tout ce qui précède, l’art consiste à tout contrôler en permanence, actualiser constamment et garder à jour et à ne pas seulement tout avoir sous contrôle mais aussi le garder.
Organisez-vous de manière telle à ce que vos systèmes, matériel, logiciel et personnes soient régulièrement actualisés. Veillez à ce qu’ils ne soient pas seulement sûrs, mais le restent.
Vous êtes prêt à passer à la pratique ?
Aurelium aide les PME à identifier leurs risques liés au RGPD et établit un plan avec vous pour rendre votre entreprise conforme au RGPD. Contactez-nous sans engagement pour obtenir une offre et une approche !
