Travail à domicile : comment trouver un équilibre entre la confidentialité et la sécurité des données
Les télétravailleurs sont devenus des cibles potentielles supplémentaires presque du jour au lendemain. Ils sont exposés à une accélération des tentatives de phishing, des menaces de ransomware, et d’arnaques par courriel comme sur les réseaux sociaux. Alors que les entreprises technologiques sophistiquées et les secteurs hautement réglementés, tels que les services financiers, les assurances et la santé, sont mieux préparés, les organisations qui ont retardé leur transformation digitale se sont soudainement retrouvées prise de court.
Elles ont dû gérer une transition soudaine et radicale vers des opérations digitales, tout en faisant face à des menaces de sécurité. De ce fait, il n’est pas étonnant que nous ayons entendu des histoires de ransomware et de failles en matière de cybersécurité, quasiment quotidiennement au cours de la première année de la pandémie.
Les arnaques sur internet visant les utilisateurs finaux n’ont jamais été aussi nombreuses, ce qui n’est pas vraiment une surprise. Le point le plus faible de tout système réside dans le manque d’expérience et l’erreur humaine. L’employé moyen qui travaille sur des réseaux et des appareils non sécurisés, représente un chemin facile à emprunter pour les escrocs, où ils peuvent mettre au point des attaques de ransomware qui compromettent des données commerciales précieuses en ayant accès aux données confidentielles au sein du réseaux d’entreprise.
Les structures moins professionnelles sont encore confrontées à la question de savoir comment gérer et partager en toute sécurité des données confidentielles avec les utilisateurs finaux. Les employés manquent souvent de connaissances de base en matière de cybersécurité et de gouvernance des données, et malheureusement ils sont simplement négligents lorsqu’ils manipulent des données en dehors du réseau d’entreprise.
Des initiatives telles que la journée européenne de la protection des données (Data Privacy Day) sont utiles pour sensibiliser le public, mais la question doit être abordée sous tous les angles pour permettre une défense complète.
Tout d’abord, considérez le maillon faible involontaire des personnes
Quels programmes de formation sont en place dans l’entreprise pour informer et éduquer les employés sur les meilleures pratiques en matière de confidentialité des données ? Mettre en œuvre des processus qui contribuent à l’instauration d’une solide culture en matière de protection des données, afin que les équipes soient attentives aux escroqueries potentielles, quel que soit le lieu de travail afin de leur permettre de traiter les données de manière responsable.
La technologie est un peu plus facile à gérer que le changement culturel, comme les solutions de gouvernance des données qui s’adaptent depuis un certain temps au cloud et aux environnements de système distribué. Il n’est donc pas difficile d’étendre cette visibilité en adoptant de nouveaux modèles économiques basés sur l’hébergement cloud. Il n’est pas nécessaire de verrouiller complètement les données pour les protéger de toute exposition.
Les solutions modernes de gouvernance pour la confidentialité des données, utilisent l’intelligence des métadonnées et les contrôles automatisés, pour garantir que les données personnelles et confidentielles sont utilisées de manière appropriée. La connaissance de l’exposition aux risques et la garantie du respect des droits des consommateurs, permettent aux organisations de collecter davantage de renseignements de leurs données de manière responsable afin de faire progresser l’innovation, car ils sont en mesure de développer et d’améliorer les produits et les services en toute sécurité, en créant plus d’adhésion et de fidélité, et les consommateurs bénéficient d’une expérience utilisateur personnalisée dans le cadre de leur droit au respect de la vie privée rendue possible par la confiance.
Le sujet est d’importance. Pour sa présidence du Conseil de l’Union européenne, lors du premier semestre 2022, la France a fait de la cybersécurité l’un de ses axes de travail prioritaires. Les chantiers sont nombreux : réviser la directive NIS (“Network and information security”) sur les opérateurs de services essentiels, éprouver la coopération entre les Etats membres en cas d’incidents cyber, définir le contenu du schéma de certification pour le cloud…
Pour une protection complète qui réponde aux nouvelles normes et aux demandes des consommateurs, les régulateurs en Europe proposent de nouvelles lois visant à remédier aux faiblesses et aux lacunes en matière de sécurité, principalement la négociation de la révision de la directive ” NIS. Adoptée le 6 juillet 2016, elle aspire à l’émergence d’une Europe forte qui s’appuie sur les capacités nationales des Etats membres en matière de cybersécurité.
Le but de la révision de cette directive, aujourd’hui, est d’élargir son périmètre d’application afin de couvrir la plupart des attaques. La NIS 2 a pour objectif de réduire les différences entre les Etats membres en matière de gestion de la cybersécurité.
Les partisans de la sécurité et de la confidentialité des données personnelles s’appuient sur des vérités communes, l’une étant que la gestion des risques de sécurité est une démarche, un voyage plutôt qu’une destination. Nous ne savons pas si le risque pourra un jour être totalement éliminé, mais nous pouvons prendre des mesures pour réduire notre exposition aux attaques et éviter d’être exploités dans la mesure du possible ou au moins en réduire l’impact, et faire preuve d’une gestion responsable des données.
Tout effort qui sensibilise à la protection de ce que nous apprécions le plus, qui établit de nouvelles méthodes de travail, de nouveaux processus et de nouvelles normes, et qui engage une conversation sur la manière d’améliorer le nouveau statu quo, ne peut que nous aider à garder une longueur d’avance sur les attaquants. Des initiatives comme la journée européenne de la protection des données peuvent tous nous aider à prendre conscience, à en parler et surtout prendre les mesures nécessaires.
