Les lois sur la protection des données personnelles se multiplient dans le monde entier. Vous avez probablement déjà entendu parler de celles édictées par l’Union Européenne. Elles ont sensibilisé les organisations à la nécessité de protéger les données personnelles qui leur sont confiées.
Les conséquences de l’irrespect des lois européennes
Le mépris de ces lois peut entraîner d’importantes sanctions pécuniaires. En vertu du règlement général sur la protection des données (RGPD), la CNIL(Commission nationale de l’informatique et des libertés) peut infliger aux organisations des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires mondial.
Un exemple récent est celui d’un prestataire informatique qui, à la suite d’un dysfonctionnement technique, avait fait disparaître un très important nombre de fichiers d’un de ses clients, spécialisé dans la construction de nacelles. Il a donc été condamné par la justice française à une amende de plus de 500 000 euros. [1]
En outre, une violation peut porter atteinte à la réputation et causer un grand préjudice aux personnes ou entités dont les données sont divulguées, volées ou perdues. Ces dernières ont la possibilité d’intenter des poursuites, ce qui ne fera qu’augmenter les coûts et porter atteinte à la réputation de l’entreprise.
Le constat de la vulnérabilité des données en mouvement
Si l’industrie informatique a permis un traitement élaboré des données personnelles, elle a également facilité leur perte. Les systèmes et réseaux informatiques des entreprises disposent de toutes sortes de mesures pour minimiser le risque de violation des données, mais c’est plus ardu lorsque les données sont physiquement en mouvement. Combien de fois avez-vous entendu parler de téléphones mobiles, d’ordinateurs portables, de clés USB, de disques durs portables ou de disques optiques égarés ou volés ?
Très souvent, les données sont lisibles, soit immédiatement, soit très facilement, par toute personne suffisamment qualifiée et équipée. Si elles sont lisibles, c’est parce que, la plupart du temps, elles ne sont pas cryptées. Parmi les cas les plus délicats, il y a les dossiers de milliers de patients qui sont stockés sur une clé USB, par exemple. Ces dossiers contiennent généralement suffisamment d’informations personnelles sur un individu pour faciliter une usurpation d’identité.
Probablement toutes les entreprises ou organisations manipulent régulièrement des documents confidentiels qui pourraient avoir de graves conséquences s’ils tombaient entre de mauvaises mains. Il peut s’agir de documents financiers, juridiques, de secrets commerciaux ou de propriété intellectuelle. Chaque organisation saura ce qui est sensible et ce qui ne l’est pas. Lorsqu’elle le déplace d’un lieu à un autre, il serait logique de le crypter et de garder les codes d’accès secrets et/ou séparés du dispositif utilisé.
La sensibilisation du personnel et les nouvelles technologies de cryptage comme solutions à la violation des données
Comme toujours en matière de cybersécurité, l’humain est le point faible. Il connaît les identifiants et les mots de passe et s’il les partage, le travail du criminel est largement facilité. Toutes les personnes impliquées dans le partage de données sensibles doivent être conscientes des risques auxquels elles sont confrontées et de la manière de les éviter. Les organisations doivent probablement mettre en place des conditions plus strictes pour l’accès à leurs données. Lorsqu’il s’agit de données sensibles, le personnel doit savoir que certaines données doivent être cryptées et accepter que tout le stockage mobile soit crypté.
Il existe aujourd’hui des dispositifs de stockage portables qui sont protégés par des systèmes de cryptage inviolables. Ces dispositifs, qu’il s’agisse de disques durs, de disques SSD, de clés USB ou de boîtiers de disques durs, sont protégés par des claviers, des dispositifs de reconnaissance d’empreintes digitales ou par la saisie classique de mots de passe informatiques. Dans la mesure où les mots de passe ne sont pas accessibles à des personnes qui ne sont pas supposées les détenir, les données stockées sont sécurisées.