À l'occasion de la Journée mondiale de la protection des données le 28 janvier, il est essentiel de rappeler l'importance vitale de cette thématique pour les entreprises. Les risques liés à une mauvaise gestion des données et une mauvaise sécurisation de celles-ci sont nombreux et peuvent avoir des conséquences désastreuses pour les organisations. En voici quelques exemples.
La protection des données : un enjeu crucial pour les entreprises
Alessandro Gai, Information and Product Security Lead chez efficy et Alain Blanc, directeur général Constellation et DPO groupe partagent leur expertise et leur analyse sur le sujet de la protection des données.
Les risques liés à la protection des données
Les entreprises font face à divers risques en matière de protection des données, notamment :
Les cyberattaques visant les données des entreprises
Selon Hugues Foulon, alors PDG d’Orange Cyberdéfense, lors du 3ème Forum Sécurité et Résilience organisé par WE DEMAIN, 60 % des PME victimes de cyberattaques ferment leurs portes dans les six mois suivant l’incident. Qu’il s’agisse de rançongiciel, de violation de données ou d’usurpation d’identité, les données sont très prisées des cybercriminels. Ils cherchent à les exploiter de manière directe pour lancer des activités frauduleuses, compromettant ainsi la réputation et l’image de l’entreprise, ou de manière indirecte, les prenant en otage jusqu’à la remise d’une rançon. Dans les deux cas, cet usage des données peut causer des pertes financières immenses, une détérioration de l’image de marque, ainsi que des conséquences juridiques graves.
Une entreprise victime d’usurpation d’identité peut voir ses comptes bancaires vidés ou ses clients détournés. Cette menace est d’autant plus préoccupante que les techniques d’hameçonnage et d’ingénierie sociale se perfectionnent constamment, en particulier avec les avancées en matière d’intelligence artificielle. Une violation de données peut entraîner la divulgation d’informations sensibles, mettant en péril la sécurité des clients et des partenaires.
La fuite de données clients, une perte de confiance immédiate
En plus de leurs données propres, de nombreuses entreprises traitent également des données tierces, concernant des clients, des prospects et des partenaires. Une fuite de ces données implique une détérioration de la relation commerciale et de l’image de l’entreprise. La confiance étant un pilier de toute relation, une entreprise qui ne protège pas correctement les données qui lui sont confiées risque de perdre leur confiance.
Concrètement, cela peut se traduire par une baisse de la fidélité, une perte de chiffre d’affaires. Bref, mauvaise nouvelle pour le business. Selon une étude Mc Kinsey menée en 2020, 70 % des consommateurs cesseraient de faire affaire avec une entreprise après une violation de données.
Les sanctions légales et financières
Depuis 2018 et l’entrée en application du RGPD, le non-respect des réglementations en matière de protection des données peut entraîner des sanctions pouvant atteindre 4 % du chiffre d’affaires annuel mondial de l’entreprise ou 20 millions d’euros. Il suffit de rappeler le cas d’Amazon dont la filière européenne a été condamnée à payer 746 millions d’euros en 2021 pour comprendre combien ces sanctions peuvent être très lourdes. En plus de ces sanctions financières, les entreprises peuvent également être poursuivies en justice par les victimes de violations de données, ce qui peut entraîner des coûts juridiques importants et des dommages à la réputation.
Une des clés, la sensibilisation des collaborateurs
Les collaborateurs, première ligne de défense des entreprises
Les collaborateurs sont un maillon essentiel dans la protection des données. Il est crucial de les sensibiliser et de les former aux bonnes pratiques. Le Responsable de la Sécurité des Systèmes d’Information (RSSI) et le Délégué à la Protection des Données (DPD) jouent un rôle primordial dans cette démarche. Des formations régulières et des campagnes de sensibilisation peuvent aider à renforcer cette culture de la sécurité. Par exemple, des modules interactifs sur la protection des données peuvent transformer la théorie en compétences pratiques.
Bonnes pratiques en matière de protection des données
Voici quelques conseils concrets pour protéger les données au quotidien…
Pour les employés déjà en poste comme pour les nouveaux arrivants, un plan de sensibilisation doit être déroulé, rappelant les concepts, risques et bonnes pratiques comme :
- Utiliser des mots de passe forts et une authentification à facteur multiple (MFA), conformément aux recommandations de l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI). Un gestionnaire de mots de passe peut aider à générer et sécuriser ces mots de passe.
- Ne jamais partager ses identifiants de connexion.
- Être vigilant face aux tentatives d’hameçonnage.
- Chiffrer les données sensibles.
Aller jusqu’à la certification ISO 27001 est un atout majeur. Les organisations peuvent également y trouver de nombreuses inspirations pour mettre en place des premières actions de sécurité, comme l’évaluation des risques et la mise en place de contrôles de sécurité. Pour une approche moins contraignante, le respect des 42 mesures du Guide d’hygiène informatique publié par l’ANSSI constitue une première étape que toute entreprise devrait aujourd’hui s’évertuer d’atteindre.
Le rôle des éditeurs et de leurs hébergeurs dans la protection des données
Les éditeurs de logiciels et leurs hébergeurs jouent un rôle crucial dans la protection des données client des entreprises. Ils doivent mettre en place des infrastructures et des protocoles de sécurité robustes. Les infrastructures de sécurité doivent inclure des pare-feu, des systèmes de détection d’intrusion, et des solutions de chiffrement des données. Les protocoles de sécurité, tels que TLS ou SSH, doivent être utilisés pour sécuriser les communications.
Choisir des partenaires locaux présente certains avantages. Faire le choix d’entreprises (éditeurs, hébergeurs, etc.) européens garantit qu’ils sont assujettis à la règlementation européenne qui s’avère plus vigilante que le Cloud Act américain ou les règlementations émergentes en Asie qui s’avèrent moins protectrices pour les citoyens européens.
En conclusion, la protection des données est un enjeu majeur pour les entreprises européennes. En sensibilisant les collaborateurs, en mettant en place des infrastructures de sécurité robustes et en choisissant des partenaires locaux, les entreprises peuvent mieux protéger leurs données et renforcer la confiance de leurs clients et partenaires.
La Journée mondiale de la protection des données est l’occasion idéale pour rappeler l’importance de ces mesures et encourager leur mise en œuvre.
Téléchargez cette ressource
Prédictions 2025 des menaces persistantes avancées
L'analyse et l'évolution du paysage des menaces persistantes avancées (APT) et des conséquences sur vos infrastructures IT. Découvrez la synthèse des prédictions, tendances et recommandations pour 2025 avec les experts Kaspersky.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Databricks lève 1 milliard de dollars !
- Intelligence Artificielle : DeepKube sécurise en profondeur les données des entreprises
- La blockchain en pratique
- 9 défis de transformation digitale !
- Stockage autonome, Evolutivité & Gestion intelligente, Pure Storage offre de nouvelles perspectives aux entreprises
