La RGPD vise à mieux encadrer la collecte de données des citoyens de l’UE par les entreprises. Néanmoins, cette mesure concerne également la sécurité liée au  stockage de ces données. Les entreprises doivent donc être très vigilantes et privilégier des solutions de sécurité informatique leur permettant de détecter rapidement toute intrusion dans le réseau informatique et d’agir dans les 72 heures pour régler le problème. Au-delà de ce délai,  elles s’exposent à de lourdes pénalités.

La dernière édition du Secure Access Threat Report de Bomgar révèle que 57% des salariés des entreprises sondées envoient des fichiers à des comptes e-mail personnels et que 55% téléchargent des données sur une clé ou un disque dur externe. Par ailleurs, dans 53% des entreprises, les salariés se connectent au réseau interne à partir de connexions WiFi mal sécurisées, par exemple depuis  un café ou un aéroport. Le RGPD, règlement général sur la protection des données, qui entrera en vigueur en mai 2018, est destiné à standardiser les lois de protection des données au sein de l’UE, afin de mieux protéger la vie privée des citoyens.


A qui le RGPD s’applique-t-il ?

Il s’applique à toutes les entreprises basées dans l’UE mais aussi à celles amenées à traiter les données de citoyens de l’UE. Au sein d’une entreprise, le RGPD doit être appliqué par les responsables du contrôle et du traitement des données. De plus, les entreprises doivent savoir parfaitement où et dans quelles conditions les données qu’elles collectent et stockent se trouvent physiquement, surtout si elles utilisent des solutions SaaS et des environnements cloud et hybrides.

Sous peine de se voir infliger de lourdes sanctions financières pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel pour toute organisation déclarée non conforme, les entreprises doivent prendre les devants et déterminer quelles données elles ont en leur possession et comment s’y prendre pour se mettre en conformité.


Des entreprises majoritairement peu préparées

Une étude IDC, menée en mai et juin dernier, a révélé qu’à un an de l’échéance, seulement  9 % des entreprises françaises se déclaraient conformes au RGPD. Plus grave, plus de quatre sociétés sur dix (43 %), au moment de l’étude, venaient juste de prendre conscience de l’existence de ce règlement. En rendant les entreprises responsables de l’intégrité des données des citoyens, ce règlement impose notamment une vigilance accrue en matière de sécurité du système informatique.  A ce titre, un des points les plus sensibles du RGPD réside dans son article 33. En vertu de cet article, le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais, et si possible, 72 heures au plus tard après en avoir pris connaissance. En cas d’intrusion, les  responsables informatiques ont donc 72 heures tout au plus pour en retracer l’origine et agir. Pour être efficaces, les entreprises doivent pourvoir disposer de solutions qui leur permettent de  limiter les dommages, tout en étant à même de suivre l’activité complète des cybercriminels, en temps réel, en cas d’attaque. 


72 heures pour agir en cas de violation des données

L’édition 2017 du rapport Verizon Data Breach Investigations précise que « dans 81% des cas de compromission résultant de tentatives de piratage, on retrouve des mots de passe volés et/ou faciles à deviner ». Les responsables informatiques doivent donc impérativement veiller à ce que seuls les utilisateurs autorisés puissent avoir accès au réseau et être en mesure d’agir rapidement en cas d’intrusion.  De nouvelles solutions de sécurité permettent aujourd’hui de créer une piste d’audit et un enregistrement vidéo de toutes les activités des utilisateurs, y compris des fournisseurs. Les administrateurs réseaux peuvent suivre les sessions en temps réel mais également y mettre fin immédiatement, s’ils constatent que l’utilisateur a volé des identifiants et s’est connecté frauduleusement. Les entreprises ont ainsi une meilleure visibilité sur les activités des utilisateurs privilégiés sur le réseau. Elles peuvent également identifier les utilisations inappropriées ou abusives, tout en respectant les exigences en matière d’audit. 

Pour être en conformité à l’échéance du 18 mai prochain, le RGPD nécessite donc : non seulement une mobilisation de l’ensemble des parties prenantes de l’entreprise, mais aussi le recours à des solutions de sécurité informatique qui leur permettent de contrôler et de prendre la main sur leur réseau afin de détecter, comprendre et neutraliser toute tentative d’intrusion dans les meilleurs délais. N’hésitez pas à faire appel à des professionnels de la sécurité pour vous accompagner dans  cette phase stratégique.


Comment Bomgar peut aider votre entreprise à se mettre en conformité avec le RGPD

Bomgar propose une gamme de solutions sécurisées pour la gestion des accès, permettant aux entreprises de contrôler, surveiller et administrer l’accès aux systèmes et aux données sensibles, sans que cela n’impacte la productivité ni ne perturbe le fonctionnement des opérations. Bomgar permet l’accès rapide et sécurisé aux systèmes tout en protégeant les identifiants ainsi que les terminaux contre les menaces.

 Avec Bomgar, vous pouvez :

Téléchargez notre livre blanc "Comprendre le RGPD et s'y préparer".

Profile photo of William Culbert

William Culbert

Sales Director South Europe