Rubrique Entreprises

PME : 5 étapes pour se protéger d’une violation de données personnelles

PME : 5 étapes pour se protéger d’une violation de données personnelles

Les risques de cyberattaques occupent aujourd’hui la première place du podium parmi les risques émergeant et n’épargnent aucune structure, même pas les PME souvent oubliées en la matière. Il est, cependant, possible d’éviter ces intrusions en observant un certain nombre de bonnes pratiques. Découvrez 5 étapes pour efficacement préparer votre entreprise à une potentielle fuite de données personnelles.

1- Procéder à une analyse des risques

Les conséquences des violations des données sur Internet se révèlent souvent critiques pour les entreprises, avec des atteintes à la réputation, des divulgations d’informations sensibles, d’énormes pertes financières, etc. La prévention se révèle donc primordiale pour augmenter l’aptitude des entreprises à contrer le risque de cyberattaque et donc limiter au mieux les dommages au cas où un incident de sécurité surviendrait. La première étape en ce sens est d’identifier les données détenues par l’entreprise et les risques qui peuvent être encours.

Il est donc essentiel que les entreprises tiennent un registre qui recense toutes les données personnelles qui ont été traitées, les objectifs de ces traitements, les personnes cibles de ces données, les temps de conservation ainsi que l’ensemble des mesures de sécurité établies. Ce travail permettra de lister les traitements pouvant comporter un risque pour les données confidentielles d’une part, et d’autre part sur les droits et libertés des personnes. Par la suite, procéder à une analyse d’impact concernant la protection des données (AIPD) permettra d’identifier les vecteurs de potentielles attaques dans le but de prendre les mesures préventives adéquates.

2- Etablir un système de gestion des violations

Réagir de manière efficace et rapide impose, en cas d’incident, la nécessité d’une approche minutieusement planifiée et suffisamment documentée. La deuxième étape est ainsi de mettre en place un système de gestion des violations de données qui devra prévoir un mécanisme de signalement en interne comme l’envoi de mails ou l’ouverture de tickets qui permettra aux collaborateurs de rapidement lancer l’alerte en cas de découverte de violations de données.

La procédure devrait prendre en compte la composition de l’équipe chargée du traitement de l’incident et préciser le rôle de chaque membre de cette équipe. Il ne faudra pas non plus manquer d’y inclure les moyens de dénonciation à l’autorité de protection des données dans le délai fixé et parfois aux personnes concernées dans les plus brefs délais. Vous pouvez joindre cette procédure à celle de la gestion des atteintes à la sécurité dans le cas où cette dernière procédure existe déjà dans l’entreprise, en veillant à la diffuser auprès de toutes les équipes.

3- Définir chaque rôle et fixer les responsabilités

Lorsque vous mettez en place une équipe de gestion des violations de données personnelles, vous devez pouvoir identifier chaque membre de cette équipe et définir le rôle de chacun, afin que ceux-ci soient opérationnels lorsqu’un incident aura lieu. Il faudra que cette équipe soit composée de membres du département informatique à même d’identifier les failles de sécurité et de mettre rapidement en place toutes les mesures techniques qui s’imposent, afin de corriger ou de mettre fin à la violation en cours.

Un certain nombre d’autres collaborateurs devront également être intégrés à l’équipe en raison du rôle crucial qu’ils auront à y jouer. C’est le cas du Data Protection Officer (DPO) qui sera en charge de décider s’il est nécessaire d’adresser une notification à l’organe de contrôle lorsqu’il aura déterminé le nombre de personnes touchées par la violation et son impact sur ces personnes. Il en est de même pour les personnes en charge des relations extérieures et de la communication qui veilleront sur l’image de marque ainsi que sur la réputation de l’entreprise.

4- Faire une simulation de violation de données

Il est important de faire régulièrement des tests sur le dispositif établi en faisant des simulations de crise et en mettant en place différents scénarios de cyberattaques réalistes. Cela permettra de mettre à l’épreuve l’aptitude de l’entreprise à faire face à un vrai incident, d’identifier les faiblesses potentielles des mécanismes de gestion des atteintes aux données et de s’assurer que l’ensemble de la cellule de crise est bel et bien au fait du rôle et des responsabilités de chacun.

5- Sensibiliser sur les enjeux liés à sécurité des données

Les cybercriminels agissent en profitant de l’inattention ou encore de la négligence des internautes pour installer sur leurs ordinateurs des programmes malveillants qui leur permettent d’infecter les systèmes et d’avoir accès à une multitude d’informations confidentielles. De ce fait, utiliser un mot de passe assez faible ou effectuer un simple clic sur un fichier corrompu peuvent avoir des conséquences lourdes sur l’activité de l’entreprise. La sensibilisation fréquente des collègues est donc de rigueur et doit demeurer une priorité absolue pour n’importe quelle entreprise. Il faut donc responsabiliser les collaborateurs, leur expliquer les risques encours et ce que chacun d’eux peut faire pour les éviter.

Mercredi 5 Juin 2019 La Rédaction