En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Seald , Sécurité : et si on parlait chiffrement et RGPD !

Publication: Novembre 2020

Partagez sur
 
Télétravail saison 2 : chiffrement et protection des données personnelles, les clés de réussite !...
 

Seald, l’entreprise française leader sur le marché du chiffrement de bout-en-bout et Citizen Shield, membre de l’AFCDP, spécialiste des questions de conformité RGPD dans les entreprises, proposent quelques pistes de réflexion sur les bonnes pratiques à adopter. Aujourd’hui, 70% du montant des amendes infligées au titre du RGPD sont liés à un manque de protection technique des données.

Un chiffre alarmant quand on sait que le RGPD est en vigueur depuis mai 2018. Les principaux responsables : le manque de sensibilisation, mais aussi le coût de la mise en conformité !

Quid des TPE-PME ?

D’un point de vue global, on note que sur le plan juridique les règles du RGPD sont comprises et mises en place. Le bât blesse sur la partie technique car encore trop souvent « Les PME et TPE ont bricolé avec des logiciels pris à droite à gauche, un système de sécurité bancal ne permettant pas une véritable protection. Alors quand on vient les voir avec une demande de mise en conformité, nombre d’entre elles se sentent dépassées » explique Philippe Gabillault, co-fondateur de Citizen Shield et ancien DPO pour un grand groupe.

La plupart ont tout misé sur les logiciels vendus par les acteurs du Cloud et ne comprennent pas que la protection qu’ils proposent n’est que sur l’infrastructure, et pas sur les développements d’applications. « La sécurité d’infrastructure mise en œuvre par défaut est souvent perçue à tort comme suffisante » conclut Timothée Rebours, CEO & co-fondateur de Seald.

Beaucoup pensent que le télétravail est synonyme de moins de sécurité, mais bien souvent l’entreprise n’était de toute façon pas protégée, ni en totale conformité. « Le confinement n’a fait qu’accélérer un phénomène déjà latent. En effet, beaucoup ont découvert que les visios faisaient gagner du temps - c’est donc une belle opportunité pour les entreprises, néanmoins, celui-ci a la contrepartie d’augmenter les vulnérabilités » déclare conjointement Timothée Rebours et Philippe Gabillault.

La question de la notion même de chiffrement

« Trop souvent, je me retrouve devant des clients qui m’assurent avoir déjà une solution de chiffrement qu’ils trouvent satisfaisantes. Mais beaucoup au fil de la conversation, confondent du chiffrement TLS avec du chiffrement de bout-en- bout » note Timothée Rebours.

La sensibilisation et la compréhension des outils sont des éléments clés trop souvent négligés. En matière de chiffrement, on voudrait souvent que seuls quelques destinataires de confiance (nos amis, nos médecins, nos banquiers, etc.) aient accès aux données échangées.

« Le plus souvent, ce n’est pas le cas : les données sont protégées depuis votre appareil jusqu’à un serveur, puis elles sont à nouveau protégées du serveur jusqu’aux destinataires. Cela semble innocent, mais ce serveur dont on parle est accessible par l’hébergeur, mais aussi par les développeurs, les administrateurs, etc. et donc les données que l’on pensait seulement accessibles du destinataire sont en fait silencieusement consultables par d’autres personnes insoupçonnées, qui constituent autant de vecteurs d’attaque supplémentaires exploitables par une personne malveillante » explique Timothée Rebours.

Le chiffrement de bout-en-bout (dit « end-to-end » en anglais) permet de garantir que le serveur, bien que transportant les données, ne pourra pas lire les données. Seuls les destinataires choisis au départ pourront accéder aux données.

La charte informatique : le point de départ de la sensibilisation

Les attaques, nous l’avons constaté, sont de plus en plus nombreuses et pour autant les entreprises ne prennent pas la mesure du risque ! Pire encore, elles ne se sentent pas à risque ! Dans cet écosystème d’entreprises, l’accent doit être particulièrement mis sur les PME qui sont les plus vulnérables, car les moins armées.

« Quand on vient faire un diagnostic de conformité dans une entreprise, une de nos premières actions est de regarder s’il existe une charte informatique interne, intégrant notamment le télétravail, et si celle-ci est inscrite dans le règlement intérieur. On ne peut pas reprocher une faille à un collaborateur si celui-ci n’a pas été au préalable averti et sensibilisé via le règlement intérieur. L’AFCDP et nous-mêmes veillons à mettre en place ces actions de sensibilisation et de responsabilisation des entreprises et de leurs collaborateurs » conclut Philippe Gabillault.

http://www.seald.io/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: