Les points essentiels du RGPD à vérifier

25 Août 2017

7 min de lecture

Préparez votre service informatique et vos techniciens à l’un des plus grands défis (et opportunités) de 2018 en matière de protection des données.  

Les points essentiels du RGPD à vérifier (Desktop)

Le 25 mai 2018, le Règlement général sur la protection des données de l'UE (RGPD) remplacera l'ensemble des autres réglementations de protection des données en Europe. Ce Règlement peut imposer de lourdes amendes : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires global d’une société, selon le montant le plus élevé. Les Pays-Bas ont une longueur d’avance puisqu’ils ont déjà mis en place le RGPD avec la Breach Notification Law (loi en matière de notification des violations), entrée en vigueur le 1er janvier 2016.

Le RGPD a deux objectifs. Il protège les droits concernant les données des citoyens européens et leur confidentialité, c'est-à-dire leurs données personnelles. Toute personne exerçant une activité au sein du marché unique devra s'y conformer. Cela comprend également les entreprises hors UE qui travaillent avec des clients de l'Union européenne.

Ce dernier point relève clairement de la compétence des services informatiques. Mais il existe d'importants recoupements. Une sécurité solide et multicouche des points d'extrémité, destinée à protéger les données, qui fonctionne au niveau du réseau, de l'appareil et de l'utilisateur, contribue grandement à protéger les droits associés.

Il n'existe pas de solutions rapides en matière de cybersécurité. Une défense solide nécessite une approche multidimensionnelle englobant les réseaux, les appareils et le personnel. La sécurité en amont signifie que les produits sont créés en pensant à leur intégration aux réseaux de nos clients, et ce, en toute sécurité.

Lorsque vos appareils sont équipés par défaut d’une sécurité de pointe, il est plus aisé de protéger vos données. Grâce au matériel HP, à la dernière version plus sécurisée de l’OS Microsoft, et à Windows 10 Pro, synonyme de professionnalisme, vous serez plus à même de protéger vos appareils.

Le RGPD incite les entreprises à modifier leur façon de collecter, stocker et utiliser les données. À titre d'exemple, le droit à l'oubli oblige les organisations à effacer l'ensemble des données concernant un citoyen européen, y compris toutes les copies, s'il le demande. Ce processus nécessite une cartographie complète indiquant les données stockées, leur emplacement et les personnes y ayant accès. Il en va de même pour la cybersécurité.

Dans cette optique, voici les 10 mesures indispensables à mettre en place avant mai 2018.

Première étape : Contrôler votre situation

La première étape consiste à évaluer votre situation. En obtenant un aperçu réaliste de votre situation actuelle, vous aurez une meilleure idée des éléments à modifier pour vous conformer à la réglementation.

1. Contrôler vos données

Assurez-vous de bien connaître le lieu de stockage de vos données, les personnes qui y ont accès et sur quels appareils

2. Contrôler vos partenaires de service

Assurez-vous que chacun de vos partenaires de service – stockage sur le cloud, SaaS, etc. – ayant accès à vos données se conforme également au RGPD ou à une autorité officiellement reconnue en matière de données

3. Vérifier tous les appareils autorisés ou non autorisés accédant aux données personnelles

Assurez-vous d'avoir connaissance de chaque appareil accédant aux données personnelles, qu'il soit officiellement approuvé ou non

Seconde étape : Contrôler l'accès

La deuxième étape consiste à contrôler l'accès aux données de l'entreprise, à effectuer le suivi des personnes y ayant accès et à éviter toute faille qui permettrait d'accéder à l'ensemble.

1. Garantir le contrôle des droits administrateur

Assurez-vous que les droits administrateur ne puissent être accordés qu'à quelques personnes sélectionnées afin de réduire le risque que d'autres personnes prennent le contrôle du réseau

1. Garantir un accès à plusieurs niveaux aux données personnelles

Octroyez l'accès aux données uniquement aux personnes qui en ont besoin. Ce fonctionnement doit dépendre de l'utilisateur, de l'appareil et du réseau d'où provient la requête

2. Garantir l'accès à distance et les droits d'effacement pour les données de l'entreprise

Assurez-vous que vous êtes en mesure de récupérer et d'effacer les données depuis tous les appareils permettant d'accéder aux données personnelles, particulièrement en cas de perte ou de vol

Troisième étape : Mettre en place une sécurité multicouche

L'étape finale consiste à mettre en place une sécurité solide permettant de détecter et de réagir aux failles. La prévention reste évidemment idéale, bien qu'irréaliste. N’oubliez pas qu’il n’existe pas de solutions rapides en matière de cybersécurité. HP recommande d’adopter une politique de défense multicouche, qui fournit une approche cohésive et complète dans un environnement où la cybersécurité est en évolution constante.

1. Investir dans de nouveaux appareils mieux sécurisés, le cas échéant

Authentification biométrique multifactorielle, verrouillage Bluetooth, écrans de confidentialité et réparation automatique du BIOS (une première mondiale signée HP) : tous ces éléments vous aident à protéger vos données au niveau de l’appareil. Les appareils et logiciels combinés offrent une protection plus complète ainsi que les dernières fonctionnalités de sécurité, comme les appareils HP fonctionnant sous Windows 10 Pro.

2. Mettre en place un scan régulier et une politique de mise à jour logicielle de sécurité

Les défenses classiques du réseau – antivirus, anti-malware et pare-feu – ne sont certes pas infaillibles, mais elles restent importantes. Des mises à jour régulières sont essentielles

3. Mettre en place un logiciel de détection et de réponse en temps réel

Sécurisez vos points d'extrémité grâce à des réponses en temps réel aux failles, par ex. la mise en quarantaine ou l'interruption de processus et d'appareils. Intégrez un outil de sécurité des informations et de gestion des événements (SIEM)

4. Assurer la formation du personnel à la cybersécurité

62% des entreprises estiment que ses collaborateurs sont à l’origine de certaines attaques subies. Proposez une formation active afin d'éviter les erreurs de base comme l'ouverture de pièces jointes inconnues

Outre le renforcement de la sécurité, ces mesures vous aideront à vous conformer aux dispositions essentielles suivantes du RGPD :

  • signalement des violations de données dans les 72 heures (et faire preuve de diligence raisonnable pour les éviter)

  • droit à l'oubli : supprimer l'ensemble des données personnelles d'un citoyen européen à sa demande

  • portabilité des données : fournir l'ensemble des données personnelles relatives à un citoyen européen dans un format qui lui est accessible

  • transferts au niveau international : s'assurer que les données ne sont transférées qu'à d'autres organisations soumises au RGPD ou jugées « appropriées » par leur juridiction

HP met la sécurité au cœur de la conception de ses produits, en commençant par les meilleures pratiques en matière de sécurité avant même de fabriquer l’appareil. La sécurité est la priorité. C’est la raison pourquoi HP EliteBook x360 avec Windows 10 Pro a été élu le PC professionnel convertible le plus sûr au monde*. Nous savons que maintenant, plus que jamais, la sécurité doit être native, et non surajoutée. C’est la politique d’HP depuis des années.

Si vous voulez simplifier votre offre de sécurité, pensez au modèle Device as a Service de HP. Il propose un modèle de consommation moderne qui équipe les employés avec ce dont ils ont besoin : matériel et accessoires, logiciels comme Windows 10 Pro, services de cycle de vie, assistance et sécurité... le tout dans une offre unique. C’est la solution la plus adaptée pour rester à jour et bien protégé.

« Le guide indispensable de conformité au RGPD »

Pour plus d’informations sur les changements à opérer pour la conformité au RGPD, téléchargez notre eGuide « Le guide indispensable de conformité au RGPD ». Il compile les contrôles définis par le (CIS) Center for Internet Security, qu’il est conseillé de déployer pour avoir une défense multicouche contre les cybermenaces.

*Les plus sécurisés selon les capacités de sécurité complètes et uniques de HP, sans coûts supplémentaires pour les fournisseurs, avec des ventes annuelles de plus de 1 million au 1er décembre 2016 d’ordinateurs HP Elite avec processeurs Intel® Core™ de 7e génération, graphiques intégrés Intel® et Intel® WLAN. Les plus fins par rapport à la concurrence avec des ventes annuelles de plus de 1 million d’appareils convertibles non amovibles intégrant le système d’exploitation Windows Pro et un processeur de 6ème ou 7ème génération Intel® compatible vPro™ au 1er décembre 2016.