La protection des données joue un rôle majeur dans les entreprises suisses, surtout si elles doivent respecter les directives du Règlement européen sur la protection des données (RGPD), par exemple parce qu’elles traitent avec des clients et leurs données provenant de la zone UE. Nous vous montrons comment protéger efficacement les données de votre entreprise et de vos clients.
La protection des données – Pour quoi faire ?
Les entreprises ont le devoir de protéger l’autodétermination informationnelle. Cela signifie que le traitement des données personnelles en particulier doit être fait conformément à la loi.
Préjudice financier et perte d’image
Si des données sensibles tombent entre les mains de personnes non autorisées à la suite d’une attaque de pirates informatiques, les conséquences peuvent être très graves pour une entreprise. Par exemple, si les données sont celles de clients ou de partenaires commerciaux, l’entreprise a violé son devoir de protection des données et peut être poursuivie par les parties lésées.
Non seulement cela entraîne des dommages financiers, mais cela met également en péril la réputation de l’entreprise, car l’incident montre que la protection des données n’est pas prise assez au sérieux au sein de l’entreprise.
Perte de l’avantage concurrentiel
Même si ce ne sont pas des données personnelles qui sont consultées par des tiers non autorisés, mais des données sensibles internes à l’entreprise, cela se solde souvent par un désavantage financier pour l’entreprise. Par exemple, il peut faire l’objet d’un chantage de la part de cybercriminels s’ils menacent de vendre des informations sensibles à la concurrence, par exemple.
L’entreprise touchée subit donc soit une perte financière en payant la rançon, soit un désavantage économique si les informations de production ou de développement sont transmises aux concurrents.
Ce ne sont là que deux scénarios qui deviennent de plus en plus courants dans le cadre de la numérisation. C’est pourquoi il est important que les entreprises protègent bien leurs données. En effet, la prévention est la meilleure protection contre le vol de données.
Mesures pour une plus grande sécurité des données
Qu’une entreprise travaille ou non avec des données personnelles, la sécurité des données est d’une importance capitale pour tous. Une entreprise ne doit pas être vulnérable aux attaques afin de ne pas mettre en danger son existence.
Sensibilisez vos employés à la protection des données
La sécurité et la protection des données ne relèvent pas uniquement de la responsabilité du département informatique. Tous les employés de l’entreprise – qu’ils soient ou non impliqués dans le traitement de données personnelles ou sensibles et dans quelle mesure – doivent être sensibilisés au thème de la “protection des données”. La meilleure façon d’y parvenir est d’organiser régulièrement des séances de formation. Lors de ces formations, les dangers actuels sont soulignés. De plus, on apprend à se comporter de manière conforme à la protection des données.
Délégué à la protection des données pour les grandes entreprises
La direction est responsable du respect et l’application du règlement sur la protection des données. Il est du devoir de la direction de concevoir les processus de l’entreprise de manière à ce qu’ils soient compatibles avec les règles de protection des données.
Dans les grandes entreprises, ce domaine de responsabilité est souvent transféré à un délégué à la protection des données. Cette personne sert alors d’interlocuteur tant pour la direction que pour les employés. Elle participe aussi régulièrement à des formations et transmet ensuite ses connaissances aux employés dans le cadre de formations internes. Il soutient la direction en tant que conseiller. Par exemple, il conseille sur la manière de mettre en œuvre des processus conformes à la protection des données.
Définir des directives claires pour le stockage des données
Il convient de déterminer où les données doivent être stockées. Ainsi, les données sont stockées uniquement à l’endroit qui leur est destiné (par exemple, sur un lecteur cloud crypté). Les employés doivent ensuite être informés, dans le cadre des mesures de formation, que ces directives doivent toujours être respectées. C’est le seul moyen de s’assurer que les données ne sont pas stockées dans un endroit où elles ne sont pas suffisamment protégées.
Utiliser le cryptage
Pour les données des clients ou d’autres données très sensibles, vous devez utiliser un logiciel de cryptage supplémentaire pour les protéger contre tout accès non autorisé.
Il en va de même pour l’envoi de courriers électroniques lorsque des données ou des documents confidentiels y sont envoyés en interne ou en externe. Avec le cryptage, vous vous assurez que seul le destinataire qui possède la clé peut lire le contenu de l’e-mail.
Définir des politiques pour les utilisateurs
Tous les employés ne doivent pas avoir accès à toutes les données de l’entreprise. Il est donc conseillé de définir des politiques d’utilisation dans lesquelles l’accès à certains lecteurs de l’entreprise est réglementé. Un employé du département de la production n’a donc pas accès aux données du département des finances – et vice versa.
Utilisez des outils de gestion des mots de passe
Il n’est pas nouveau que les mots de passe doivent être suffisamment complexes pour augmenter la sécurité. En outre, des mots de passe différents sont attribués pour différentes applications et doivent être changés régulièrement. Ces dernières années, ces circonstances ont conduit de nombreux employés à laisser tomber. En effet, ils oublient fréquemment leurs mots de passe.
Par conséquent, on choisit le mot de passe le plus simple possible, qui est utilisé pour chaque application et n’est modifié que lorsque l’application l’exige. Cela ne garantit pas la sécurité des données.
Pour éviter ce problème, il est judicieux d’utiliser des outils de gestion des mots de passe. Ceux-ci ne se contentent pas de stocker et de gérer les mots de passe de toutes les applications de l’utilisateur. Ils changent également les mots de passe à intervalles réguliers afin que l’utilisateur n’ait plus à s’en soucier. L’outil de gestion des mots de passe se charge donc de saisir lui-même le mot de passe dans la fenêtre de connexion. L’utilisateur s’identifie alors uniquement auprès du gestionnaire de mots de passe. Il ne doit donc plus se souvenir de mots de passe complexes.
Sauvegardes et mises à jour régulières
Les données sur les PC des employés ne doivent jamais être stockées uniquement sur ces ordinateurs. Elles doivent aussi être stockées sur un serveur ou sur un disque dur sécurisé. Le département informatique ou un prestataire de services informatiques externes ont le devoir de s’assurer des sauvegardes régulières des données. Si le disque dur du PC de l’employé tombe en panne, les données stockées peuvent tout de même être lues à partir du serveur ou du cloud sur un nouveau disque dur.
Le service informatique ou le prestataire de services ont également l’obligation de maintenir à jour les applications et les systèmes d’exploitation de tous les ordinateurs et appareils de l’entreprise en permanence. Cela signifie que les dernières mises à jour de sécurité doivent être appliquées rapidement.
La protection des données – aussi dans le bureau à domicile ?
Les entreprises doivent se préparer au fait que les défis concernant la protection et la sécurité des données ne vont pas diminuer à l’avenir. Au contraire, elles augmenteront.
Les employés travailleront de plus en télétravail. Dans ce cas là aussi l’employeur a le devoir d’assurer une infrastructure informatique sécurisée. Ceci afin que la protection des données soit également garantie sur les appareils situés en dehors de l’entreprise. Dans ce contexte, il est essentiel de sensibiliser les employés au fait qu’ils prennent la protection des données en télétravail tout aussi sérieusement que sur leur lieu de travail dans l’entreprise.
En outre, les employés ne doivent utiliser que les applications qu’ils utilisent également dans l’entreprise et non les logiciels présents sur leurs appareils privés. Dans le cas contraire, il se crée un “shadow IT” sur lequel l’employeur n’a aucun contrôle.
En conclusion, la protection et la sécurité des données ne peuvent être un succès que si tout le monde coopère. Les employés doivent être conscients des conséquences d’une violation de la protection des données.