Sécurité des données personnelles : un challenge pour toutes les organisations

La sécurité des données personnelles est-elle assurée dans les entreprises ? Un volume de données qui croît dans des proportions incroyables, des pertes de données dans les entreprises qui se multiplient… Des décideurs informatiques issus d’entreprises privées et publiques de 18 pays différents se sont exprimés sur la maturité de leurs stratégies de sécurité des données personnelles.

Il y a quelques jours, Dell EMC a dévoilé les résultats de son troisième Global Data Protection Index. Le rapport met en évidence un taux de croissance exponentiel du volume des données dans le monde (+569% et +701% uniquement en France).

Les trois défis en matière de sécurité des données personnelles :

  • Complexité de la configuration et de l’excploitation du logiciel/matériel de protection des données informatiques + coûts liés au stockage et à la gestion des copies de sauvegarde
  • Absence de solution de protection des données pour les technologies émergentes (IA, machine learning, etc)
  • Mise en conformité aux nouvelles réglementations comme le RGPD en Europe

 

infographie-securite-donnees-personnelles

Sécurité des données personnelles : une prise de conscience majeure de leur valeur

Dans l’Hexagone, l’étude de Dell révèle une augmentation du volume moyen de données générées, de 1,4 Po en 2016 à 11,22 Po en 2018. De plus, l’Index parle d’une prise de conscience majeure de leur valeur. Mais si 80% des entreprises françaises sont conscientes de la valeur de leurs données, seulement 20% les monétisent (contre 44% au Royaume-Uni et 54% aux Etats-Unis, moyenne mondiale à 36%). « Si cette prise de conscience traduit une dynamique globalement positive, la plupart des entreprises indiquent néanmoins avoir du mal à protéger leurs données correctement », notent les auteurs du rapport.

Pour un fournisseur de solutions d’infrastructure informatique, « la protection de données ne peut plus être considérée comme une simple police d’assurance ». Elle devrait au contraire être au centre des préoccupations « pour toutes charge de travail à laquelle l’entreprise donne la priorité », a déclaré Arthur Lent, CTO de Dell EMC Data Protection.

De plus en plus de pertes de données irréversibles

La sécurité des données personnelles est encore plus difficile pour l’entreprise lorsque l’on prend en considération le volume généré et l’importance qu’elles représentent pour son activité. Si les incidents et perturbations se produisent fréquemment, le nombre croissant de pertes irréversibles de données est lui « alarmant ». En effet, 76% des entreprises ont subi une faille et 27% n’ont pas été en mesure de récupérer les données à l’aide de leur solution de protection.

L’UE se mobilise pour la sécurité des données personnelles

Les questions liées à la sécurité des données personnelles sont prises très au sérieux, notamment au niveau européen. Le règlement général sur la protection des données (RGPD) est entré en application le 25 mai 2018.
Il harmonise les règles et les pratiques européennes, applicables en matière de protection des données à caractère personnel. Il concerne les entités publiques ou privées, établies dans l’UE ou touchant des personnes dans l’UE. Entreprises de toutes tailles, administrations et collectivités qui traitent des données à caractère personnel sont concernées. Parmi les exigences fixées dans le règlement, la nécessité de garantir un niveau de sécurité adapté au risque numérique.

Pour aider les entreprises à être en conformité avec le RGPD, la CNIL a publié un guide sur la sécurité des données personnelles. En tout, la Commission a mis en ligne 17 fiches qui permettent  aux entreprises de mieux appréhender les questions liées à la sécurité des données personnelles :

  • Sensibiliser les utilisateurs
  • Authentifier les utilisateurs
  • Gérer les habilitations
  • Tracer les accès et gérer les incidents
  • Sécuriser les postes de travail
  • Sécuriser l’informatique mobile
  • Protéger le réseau informatique interne
  • Sécuriser les serveurs
  • Sécuriser les sites web
  • Sauvegarder et prévoir la continuité d’activité
  • Archiver de manière sécurisée
  • Encadrer la maintenance et la destruction des données
  • Gérer la sous-traitance
  • Sécuriser les échanges avec d’autres organismes
  • Protéger les locaux
  • Encadrer les développements informatiques
  • Chiffrer, garantir l’intégrité ou signer

La sécurité des données personnelles est prise très au sérieux par organismes de contrôle tels que la CNIL. Et depuis l’entrée en application du RGPD, des amendes ont été infligées – certaines d’un montant de plusieurs millions d’euros – à des entreprises qui n’ont pas été en mesure d’assurer la sécurité des données personnelles dont elles avaient la charge.

180 000 euros d’amende pour protection insuffisante

Le 25 juillet 2019, la CNIL a prononcé une sanction de 180 000 euros à l’encontre de la société Active Assurances pour avoir insuffisamment protégé les données des utilisateurs de son site web. En juin 2018, la CNIL a reçu un signalement d’un client de la société. ce dernier affirmait, qu’à partir de son compte, il avait pu accéder aux données personnelles d’autres clients.

Un contrôle en ligne a permis de constater l’information. En effet, les comptes des clients étaient accessibles via des liens hypertextes référencés sur un moteur de recherche. Les documents et données des clients étaient  donc également accessibles en modifiant les numéros figurant à la fin des adresses URL affichées dans le navigateur. Ces documents comportaient notamment des copies de permis de conduire, de cartes grises ou des relevés d’identité bancaire. La faille permettait également d’accéder à des documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite.

Amende record à l’encontre de Facebook

Aux Etats-Unis la guerre est déclarée contre les entreprises qui ne traiteraient pas correctement les données sensibles et les données personnelles qui leurs sont confiées. Pour preuve, l’amende infligée à Facebook par la Federal Trade Commission (FTC) d’un montant de 5 milliards de dollars. Le groupe est accusé de violation de la vie privée des consommateurs. Cette amende record est le résulat d’une négociation à l’amiable entre le réseau social et l’Autorité fédérale de régulation américaine.

Hélène Toutchkov

Hélène Toutchkov
Content Manager

Oodrive, le partenaire de confiance pour la gestion de vos données sensibles.

En savoir plus Nous contacter