Comment le RGPD empêche de hacker tranquille ?

1 milliard d'euros ! C'est ce que le gouvernement a mis sur la table pour renforcer la cybersécurité dans les structures privées et publiques. La sécurité des données est devenue un axe majeur et démarre par le respect du règlement général sur la protection des données.

Hôpitaux, grands groupes, mairies, entrepreneurs indépendants… nous sommes tous la cible potentielle des hackers. Pourquoi ? L’argent ! Voler des données confidentielles, personnelles pour les faire fructifier, c’est bien là le leitmotiv des pirates du web. C’est ce que l’on appelle les attaques ransomware ; les plus courantes et destructrices.

Mais il reste difficile de protéger les données à l’heure du tout connecté. L’usage du cloud, l’essor du télétravail, le boom du e-commerce… ne sont que des accélérateurs de la cyberattaque.

Alors pour les affronter, voici quelques clés : mise en conformité RGPD, sécurité informatique et formation des équipes aux bonnes pratiques.

Le staffing :  monter votre propre armée de cybersécurité

Il faut accompagner les structures et leurs équipes de façon pédagogique afin de sécuriser mais aussi de se préparer à l’attaque !

La sensibilisation des salariés : le nerf de la guerre

C’est primordiale de les former à réagir face à une cyberattaque ou à une suspicion de violation de données. Une équipe préparée qui sait identifier les risques, qui connait l’interlocuteur à contacter en urgence, qui maitrise les premières actions à mettre en place, est une équipe qui sera d’autant plus réactive face une cyberattaque. Aujourd’hui les enjeux se jouent dans la capacité et la rapidité de réagir pour limiter les dégâts

Pour cela, des procédures en interne doivent être rédigées et communiquées aux équipes. Il faut aider à identifier les bonnes pratiques et les manipulations les plus courantes : l’usage doit être au centre des réflexions. Certaines entreprises organisent même des simulations de cyberattaques pour étudier et former les salariés, comme c’est le cas pour les tests d’alarme incendie.

La mise en place d’un PRA (plan de reprise d’activité) / PCA (plan de continuité d’activité)

C’est le matelas de sécurité pour pouvoir rétablir la situation et ainsi récupérer dans les plus brefs délais les données perdues ou temporairement inaccessibles. Cela va de pair avec des sauvegardes régulières, des redondances de back-up, et sans oublier des tests de restauration des sauvegardes.

Misez sur le bon RSSI (responsable de la sécurité des systèmes d’information)

Il doit être en mesure de superviser et d’identifier un incident de sécurité, parmi les fausses alertes et les alertes de faible priorité. Qu’il soit externalisé ou interne à la société, le RSSI doit penser à la sécurité de la bureautique, des infrastructures, des bâtiments…pour envisager tous les risques, et ainsi mettre en œuvre des mesures de précautions correspondantes.

Mais la veille humaine n’est pas suffisante : il faut automatiser avec des process informatiques qui détectent les bugs de sécurité. C’est là qu’intervient votre expert en informatique !

Le RGPD : votre passeport de sécurité renforcée

Se plier aux lois, adopter la bonne éthique en termes de protection et de traitement des données est un acte majeur pour freiner les hackers :

L’article 32 du Règlement Général de la Protection des Données, en application depuis le 25 mai 2018, impose à tous les organismes de mettre "en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque".

Le RGPD impose donc de nouvelles obligations aux entreprises en matière de sécurité :

  • Le chiffrement ou la pseudonymisation des données ;
  • Des moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité des données ;Des moyens permettant
  • d’accéder facilement aux données en cas d’incident, qu’il soit physique ou technique ;
  • Une procédure pour tester, analyser et évaluer régulièrement l’efficacité des mesures en place.

Si ces mesures ont pour objectif premier de protéger les données personnelles des clients et salariés, ces mesures vont inéluctablement permettre de rendre les entreprises plus hermétiques, donc moins vulnérables face aux cyberattaques.

Pour se mettre en conformité au RGPD, les entreprises peuvent former en interne un DPO/DPD ou faire appel à un expert DPO externalisé. Celui-ci devra travailler de concert avec le RSSI sur un projet de compliance pour affronter au mieux les cyberattaques et sensibiliser les salariés.

Si la compliance du RGPD n'est pas assurée, la zone de risque est forcément augmentée mais il existe encore de nombreux cas classique d'un salarié qui a cliqué sur un email frauduleux : une négligence basique qui permet elle aussi, l'intrusion dans le système d'information.

De manière générale, les cyberattaques constituent des violations de données au sens du RGPD en ce qu’elles entrainent la destruction, la perte, l’altération ou la divulgation non autorisées de données personnelles.

La cybersécurité doit donc être menée dans le cadre d’un véritable projet d’entreprise prenant en compte la réglementation mais aussi la sensibilisation de toutes les parties prenantes de l’entreprise pour empêcher les hackers de hacker.