Protection de la vie privée – Les sujets à suivre de près

0
100

Avec la technologie, impossible de baisser la garde. Si la course aux changements et à l’innovation fascine, elle peut être à double tranchant. La protection de la vie privée est en effet le plus gros défi auquel sont aujourd’hui confrontées les entreprises.

Tribune GlobalSign – Sur le volet « planification de la sécurité », c’est le sujet prioritaire de chaque entreprise pour l’année en cours. Voici les thèmes qui, d’après nous, devraient occuper le devant de la scène :

  • Adapter la protection de la vie privée aux technologies comme l’intelligence artificielle (IA)
  • Respecter les nouvelles réglementations prévues par le RGPD
  • Concilier innovation continue et pratiques strictes de respect de la vie privée

La cybersécurité fait partie intégrante de la planification des mesures de protection de la vie privée. Au vu du nombre de cyberattaques d’envergure dont les médias se font l’écho, la menace est bien réelle. Si l’on ajoute à cela les difficultés liées à l’application des nouveaux règlements sur la protection de la vie privée, le sujet est vaste.

VIE PRIVÉE : TOUR D’HORIZON DES THÉMATIQUES PHARES POUR 2019.

Cybersécurité et vie privée

Aujourd’hui, il est rare de trouver une entreprise qui n’utilise pas de plateforme en ligne pour répondre aux besoins de ses clients. Pour nous, l’une des grandes tendances de 2019 est le security by design, c’est-à-dire l’intégration de la sécurité dès la conception des logiciels pour les rendre moins sensibles aux vulnérabilités. Il faudra sans doute plusieurs années avant que l’évolution du security by design n’offre toute la protection dont nous avons besoin. Face à des cybercriminels qui innovent en permanence, il semblerait que nous ayons toujours un train de retard.

Ces dernières années ont été marquées par plusieurs cyberattaques d’envergure. La débâcle d’Equifax a fait près de 150 millions de victimes parmi les consommateurs et le piratage de MyFitnessPal a compromis la vie privée de 150 millions d’utilisateurs. Mais les grandes entreprises ne sont pas les seules cibles.

Près du tiers des entreprises (31 %) ont déjà été victimes d’une cyberattaque — un chiffre colossal ! Plus de la moitié de ces attaques visaient de petites entreprises qui n’avaient peut-être pas les ressources suffisantes pour se relever de telles attaques.

Alors que nous arrivons à la mi-2019, voici quelques tendances intéressantes à surveiller :

Manipulations de données en hausse

Les cybercriminels ont sans aucun doute les compétences et la ténacité nécessaires pour obtenir ce qu’ils cherchent. D’après les chiffres, environ 24 000 attaques malveillantes contre des mobiles sont bloquées chaque jour, avec un niveau de sophistication qui va croissant. Ne soyons donc pas surpris si les cyber-malfaiteurs se réorientent progressivement vers la manipulation de données.

Si la manipulation de données peut pousser les utilisateurs à douter de la sécurité des données — ce qui peut être dangereux si l’on compte sur l’intégrité de sa base d’utilisateurs — elle peut aussi gravement nuire à la réputation de personnes physiques et morales. Le phénomène devrait s’intensifier en 2019.

Des infractions plus difficiles à contrer

S’enfoncer toujours plus loin dans les bas-fonds du Dark Web, utiliser du code personnalisé pour leurs attaques… les pirates informatiques rivalisent d’ingéniosité pour opérer en mode furtif. C’est notamment le cas dans ce scénario d’attaque avec rançongiciel : les victimes deviennent les agresseurs, et la logique de tarification s’inspire des principes de la vente pyramidale. Ainsi, en transférant le lien du malware à deux autres personnes (pour qu’elles installent le logiciel malveillant et paient la rançon), la victime initiale peut alors déverrouiller ses fichiers pris en otage. La créativité des cybercriminels est sans limites !

L’assurance cyber-risque a le vent en poupe

Pour bien des petites entreprises, les conséquences d’une cyberattaque peuvent être catastrophiques. On estime que 60 % des petites et moyennes entreprises font faillite dans les six mois qui suivent une cyberattaque. D’où des exigences accrues en matière d’assurance cyber-risque ou d’assurance cyber-responsabilité (CLIC). Ce filet de sécurité supplémentaire est conçu pour réduire l’exposition au risque après un piratage ou tout autre événement semblable. Dans le prolongement de cette tendance, on peut s’attendre à voir émerger des produits plus personnalisés.

Vie privée et intelligence artificielle

L’intelligence artificielle est omniprésente dans la sphère professionnelle où elle est utilisée pour filtrer des candidats et effectuer un suivi des employés. Dans l’univers de la consommation, le rôle de l’IA est polyvalent — allant du marketing au ciblage des clients, en passant par la détection des fraudes. Mais dans quelle mesure l’IA pose-t-elle un risque pour la protection de la vie privée ?

Pendant la phase d’apprentissage des algorithmes, le facteur humain est l’une des causes potentielles de préjudice juridique, financier et autre.

Viennent ensuite l’accès aux données, les restrictions de profilage, les droits de suppression et la prise de décisions automatisée. Aux quatre coins du globe, les entreprises doivent chercher à comprendre l’impact de l’IA sur la vie privée — et trouver les moyens de se protéger de potentiels incidents.

Le RGPD

En vertu du nouveau Règlement sur la protection de la vie privée (RGPD), les entreprises doivent désormais mettre un terme à la collecte de données clients non nécessaires à la finalité annoncée. Elles sont ainsi contraintes d’aborder la collecte de données au plus juste pour garantir la sécurité. Or, la mise en œuvre de ces nouvelles pratiques ne se fait pas en un jour.

Le RGPD réglemente désormais la collecte de données sur la base des exigences suivantes :

  • Les organisations doivent obtenir le consentement explicite de la personne avant d’utiliser ses données personnelles. Cela s’étend au partage avec des tiers.
  • Le stockage de données à long terme à des fins non spécifiques est également interdit dans le cadre du RGPD. Les entreprises doivent maintenant afficher une transparence totale sur leurs intentions concernant les données. Toute personne physique dispose à tout moment d’un droit de regard sur ses données.
  • Les organisations doivent être très précises sur la façon dont les données seront utilisées et la période pendant laquelle elles seront utilisées. En cas de doute sur la validité de ces informations, le consommateur peut demander la suppression immédiate de ses données.
  • Toute collecte de données doit être réduite au minimum et aucune donnée non nécessaire à la finalité annoncée ne peut être stockée en vue d’une utilisation ultérieure.
  • Les particuliers doivent pouvoir recevoir, sur demande, tous les renseignements personnels qu’une organisation détient sur eux. Et toutes les organisations doivent fonctionner avec des bases de données gérées de manière centralisée.
  • Les organisations doivent adhérer à une politique de suppression stricte.

Le RGPD présente plusieurs initiatives visant à protéger les utilisateurs. Pourtant, les entreprises pourront rencontrer des difficultés pour la mise en œuvre de la nouvelle réglementation. D’après une récente enquête, des millions d’entreprises ne sont toujours pas conformes au RPGD.

Ce resserrement de la réglementation peut également entraîner une certaine frilosité de la part des entreprises face à l’innovation, avec pour conséquences, des limitations au niveau des applications et des nouveaux produits.

Face à ces problèmes, quelques mesures de sécurité immédiates permettent aux entreprises de rester en sécurité et en conformité :

Audit de sécurité

La réalisation d’un audit de sécurité complet est indispensable à toute organisation qui héberge des données de patients ou de clients. Un audit de sécurité comprend une évaluation du matériel et des logiciels, ainsi qu’une analyse exhaustive des vulnérabilités éventuelles.

Un audit de sécurité rigoureux pourra évaluer les points suivants :

  • Contrôles d’accès physiques
  • Contrôles physiques sur les équipements réseau
  • Conditions des salles serveur
  • Dispositifs anti-malwares
  • Sauvegardes
  • Évaluation informatique interne et externe des pare-feux
  • Contrôles d’accès logiques
  • Infrastructure réseau
  • Rançongiciels
  • Systèmes de protection de sécurité
  • Serveurs
  • Réseaux sans fil

VPN

Pour la sécurité de son entreprise, il est nécessaire de s’assurer que son équipe utilise un chiffrement VPN. Le VPN chiffre les données qui transitent entre les ordinateurs et les serveurs utilisés pour les services essentiels. De cette façon, aucun visiteur indésirable ne pourra voir les informations que l’entreprise envoie aux serveurs.

Tests d’intrusion

Le test d’intrusion est un outil indispensable pour toute organisation qui stocke des données sur ses patients et/ou clients. Les tests d’intrusion consistent à simuler des activités de piratage pour déterminer les points faibles susceptibles d’être ciblés. Ils fournissent une analyse complète de la sécurité sur l’ensemble de l’infrastructure informatique et permettent d’établir une liste de points à mettre en œuvre pour garantir la confidentialité des informations.

Analyse de vulnérabilités

L’analyse des vulnérabilités met en évidence les changements apportés aux systèmes — en soulignant les points sur lesquels faire porter les efforts. Cette démarche encourage l’adoption de mesures de sécurité proactives et doit idéalement être effectuée régulièrement pour réduire les risques.

En conclusion

La protection de la vie privée est un sujet que nous devons TOUS suivre de près au second semestre 2019. Information, suivi des évolutions et adoption proactive des mesures de sécurité appropriées… ces quelques mesures permettent vraiment de garantir la sécurité et la conformité de l’entreprise — quoi qu’il advienne par la suite.