Qu’est-ce que le chiffrement ? Comment vous protège-t-il ?
Le chiffrement est une technologie qui permet de coder des informations de manière à ce que ces dernières ne soient pas accessibles à des utilisateurs non autorisés. Dans le cas où les données chiffrées de votre entreprise seraient dérobées et/ou divulguées, les malfaiteurs ayant en leur possession ces informations ne seraient pas en mesure de les lire, puisque celles-ci seraient illisibles sans la clé de déchiffrement appropriée.
Beaucoup d’internautes ignorent que de nombreuses données sont d’ores et déjà protégées par la technologie de chiffrement. Par exemple, les achats en ligne tout comme les opérations bancaires sur le web ne fonctionneraient pas sans une solution de cryptage efficace et robuste. En d’autres termes, le chiffrement est conçu pour protéger votre argent et vos informations personnelles. Pour ce qui est de l’environnement professionnel, cette technologie devrait être utilisée pour protéger à la fois la propriété intellectuelle mais également le savoir-faire de votre entreprise, ainsi que l’ensemble des données personnelles que vous utilisez.
EN SAVOIR PLUS
La propriété intellectuelle tout comme le savoir-faire peuvent faire référence aux produits ou services que votre entreprise a pu développer. Il peut aussi s’agir des méthodes et techniques utilisées pour vendre des produits efficacement ou des procédés employés pour les faire fonctionner au sein de la société. De même, les business plans de l’année suivante tout comme les stratégies marketing sont également concernés et convoités. En somme, toutes ces informations peuvent faire l’objet de monétisation, de chantage ou être utilisées à mauvais escient par un cybermalfaiteur.
Les données personnelles que l’entreprise est amenée à collecter ou à utiliser peuvent contenir des informations sur les employés ou les clients. La loi exige que les sociétés protègent l’accès à ces données dans le cadre du RGPD (Règlement Général sur la Protection des Données), en vigueur dans l’Union Européenne.
RGPD et chiffrement
Le RGPD permet de définir ce qui est considéré comme une donnée personnelle. On peut notamment y répertorier les noms et prénoms, photos, adresses électroniques, numéros de téléphone, numéros de compte, empreintes digitales et voix. Ce règlement, entré en application depuis le 25 mai 2018, décrit la technologie de chiffrement comme une garantie fiable pour assurer la réputation de l’entreprise et prévenir des risques associés aux violations de données.
Prenons l’exemple suivant : l’un de vos employés égare une clé USB contenant une liste d’informations au sujet de vos clients. Selon le RGPD, vous êtes tenu d’informer tous les contacts y figurant concernant l’incident en question. Ces personnes pourraient percevoir cette perte de données comme une raison suffisante de changer de fournisseur ou d’entreprise. Alors que si ces informations personnelles avaient été chiffrées au préalable, l’obligation de notifier ces mêmes contacts deviendrait parfaitement subsidiaire.
Connaissez-vous la marche à suivre pour votre entreprise en cas de fuite de données ?
Vous avez l’obligation d’en notifier le régulateur :
Vous devez signaler toute perte, fuite ou vol de données aux autorités compétentes en charge des données personnelles. Cette obligation s’applique à tous les incidents : des plus importants, impliquant de larges bases de données, à des événements mineurs liés à de simples erreurs. Par exemple, vous êtes tenu d’effectuer un signalement même lorsque vous mélangez, par maladresse, le contenu de deux enveloppes destinées à deux destinataires distincts.
Vous avez 72 heures
Vous êtes dans l’obligation de notifier l’organisme compétent dans un délai de 72 heures après avoir eu connaissance du problème (et non pas 72h après l’incident). Si ce délai n’était cependant pas respecté, une justification vous serait demandée sur ce retard de signalement.
Vous devez prévenir les personnes concernées
Dans les cas les plus graves, vous êtes dans l’obligation, en plus de notifier les autorités compétentes en matière de données personnelles, d’informer les contacts ayant été touchés par l’incident. Toutefois, ces mesures ne sont pas obligatoires si votre entreprise a déjà fait le nécessaire en matière de sécurité et pris des mesures techniques adaptées, en amont de l’événement. C’est notamment le cas pour les données personnelles rendues illisibles aux personnes non autorisées. D’ailleurs, le terme légal de “mesure technique” fait référence au protocole de chiffrement.
Amendes possibles liées au RGPD
En cas de non-respect de signalement d’une violation de données auprès des autorités compétentes, une amende pouvant aller jusqu’à 10 millions d’euros pourra être émise. Quant aux entreprises, celle-ci pourrait atteindre jusqu’à 2% maximum du chiffre d’affaires annuel mondial de la société (en prenant pour référence l’année précédente). Outre la sanction financière, l’autorité de protection des données peut également intervenir sur les points suivants :
- Une limitation temporaire ou définitive pouvant inclure une interdiction de traiter des données personnelles
- Une suppression des données personnelles
En d’autres termes, cela signifie que votre entreprise pourrait perdre tous les contacts de ses clients existants ou être temporairement privée de stocker des données de ce type.
Les violations de données touchent les entreprises de toutes tailles
Beaucoup de sociétés, de par leur petite taille ou leurs ressources limitées, se croient intouchables en matière de piratage ou de fuites de données. Malheureusement, c’est loin d’être le cas : selon les chercheurs d’IDC, les PME représentent 70% des failles relatives aux données. Toutefois, il y a au moins une bonne nouvelle : les entreprises ne sont pas tenues de signaler des cyberattaques sauf si des données personnelles ont été compromises ou divulguées.
Les sociétés se sentent souvent démunies ou honteuses à l’idée de signaler une cyberattaque, bien souvent car elles ont l’impression - totalement fausse - que les autres entreprises ne sont jamais confrontées à ce type de problèmes.
Suite à la première année d’entrée en vigueur du RGPD, ESET a pu observer que les autorités de contrôle en Europe tendaient encore à se familiariser avec les nouvelles règles. Il est fort probable que ces organismes de surveillance émettront davantage d’amendes dans les mois et années à venir.
Cependant, l’expérience illustre une certaine clémence : si les entreprises concernées coopèrent, elles ont tendance à être moins pénalisées. Par ailleurs, il semblerait que les sociétés n’étant pas assimilées à des géants du web seraient davantage épargnées sur les montants des amendes.
C’est pourquoi nous recommandons aux entreprises de toujours soigneusement respecter l’obligation de notification, de coopérer avec les autorités compétentes et bien sûr d’éduquer leurs employés sur l’usage et la protection des données personnelles.
Les solutions de chiffrement d’ESET
ESET Endpoint Encryption protège les données les plus sensibles localisées sur les appareils de l’entreprise à l’aide d’un protocole de chiffrement. Ce dernier s’exécute sur les fichiers, dossiers, e-mails et pièces jointes, dossiers amovibles, disques amovibles et évidemment sur l’ensemble du disque dur. Très simple à utiliser, il offre une gestion à distance complète des clés de chiffrement et ne nécessite aucun serveur pour le déploiement. Obtenez dès maintenant une version d’essai gratuite de 30 jours et mettez à l’épreuve notre solution ESET Endpoint Encryption au sein de votre entreprise.
