Cybersécurité et protection de la vie privée : qui est responsable ?
Dans de nombreuses organisations, la logique veut que l'aspect cybersécurité soit directement attribué au Ciso. À moins qu'il n'y ait une responsabilité collective pour la cybersécurité et la vie privée, les données ne sont pas sécurisées et si les choses tournent mal, il en découle de la responsabilité de chacun.
Dans certaines organisations, la direction générale ne prend pas toujours au sérieux la sécurité informatique et la confidentialité des données. Trop souvent délaissés, ces sujets sont pour beaucoup des tâches qui peuvent être déléguées au CISO ou au DPD (délégué à la protection des données) et oubliées. Si la direction continue à voir les choses de cette façon, il n'est alors guère surprenant que ce genre d'attitude se répande dans les organisations et que le personnel, toutes catégories confondues, ne prennent pas non plus ces questions au sérieux. Ainsi, il existe quelques conseils pour palier à ces failles de sécurité :
1. Opter pour des dispositifs cryptés
Si la décision d'acheter des clés USB, des disques SSD ou des dispositifs IoT non chiffrés se fonde uniquement sur le prix, sans tenir compte du fait qu'ils sont sécurisés ou dotés d'un chiffrement matériel, alors ces dispositifs non chiffrés créent une cyber vulnérabilité. Toute l'organisation risque alors de subir une violation des données.
2. Ne pas négliger les mots de passe
Si le personnel ne respecte pas les règles de base de la cybersécurité et se montre négligent en ce qui concerne les mots de passe ou les pièces jointes aux courriels, il met en danger la sécurité de toute l'organisation. Les cybercriminels ciblent activement les mots de passe faibles ou connus et utilisent des tactiques de phishing pour compromettre la sécurité de leurs victimes. Ce sont là certains des vecteurs d'attaque les plus courants pour les cyberincidents.
3. Respecter l'utilisation de données privées
Le RGPD stipule que les données personnelles ne peuvent être collectées qu'avec le consentement de l'intéressé pour une finalité déterminée. Si une entreprise collecte ou partage des données illégalement, elle expose tout le monde à des amendes et des litiges importants. La cybersécurité et la confidentialité des données sont donc des sujets à ne pas négliger.
Pour le bien et la sécurité de tous, il est donc préférable d’utiliser des lecteurs USB, des SSD ou des dispositifs IoT sécurisés, respecter les règles d'hygiène informatique, ou encore utiliser les données des clients de manière appropriée.
Le changement de culture est la clé
Afin de faire évoluer les mentalités et faire en sorte que les salariés prennent au sérieux la cybersécurité et la confidentialité des données dans une organisation, a tous les niveaux hiérarchiques, il est impératif de faire changer la mentalité culturelle.
Il existe de nombreuses incitations pour les entreprises à le faire. Il est évident que les clients seront heureux de faire des affaires avec des organisations qui, selon eux, prendront soin de leurs données et qu'ils seront plus réticents à faire des affaires avec celles qui ne le font pas. Conserver la confiance des clients et éviter tout incident de cybersécurité susceptible de saper cette confiance devrait ainsi être une priorité pour tous.
En outre, il existe différents leviers pour inciter les entreprises à prendre la protection des données au sérieux. Pour commencer, le RGPD. Cette norme prévoit une amende maximale de 20 millions d'euros ou de 4% du chiffre d'affaires annuel mondial - la plus élevée des deux - pour chaque incident identifié. Le coût de la réparation d'un incident peut se chiffrer en millions d’euros et s'il s'agit d'une attaque par ransomware, les cybercriminels pourraient exiger une rançon de plusieurs millions d'euros en plus. Il y a également le risque d’être poursuivi par les personnes dont les données ont été compromises.
Comme si de telles sanctions contre une organisation ne suffisaient pas, il existe également des sanctions émergentes contre des individus. En effet, un rapport du cabinet d'analystes Gartner a prédit que les PDG pourraient bientôt être personnellement responsables des cyber-attaques.
Les citoyens et clients souhaitent à juste titre que les entreprises protègent leurs données avec les normes les plus élevées possible. Il devient donc de plus en plus logique de s’inquiéter, à la fois collectivement et individuellement du fait que chacun pourra être tenu pour responsables en cas de fuite de données. Mais la priorité numéro une devrait toujours être de se concentrer sur la protection des données.