Aide à protéger vos données et à respecter les nouvelles réglementations en améliorant la sécurité de votre PC et votre imprimante.
Les conséquences d’une violation de données de client ou d’entreprise peuvent être catastrophiques pour une entreprise, quelle que soit sa taille. Cela porte préjudice à sa réputation, à la clientèle et tout cela n’est que la partie émergée de l’iceberg. Les entreprises pourraient payer le prix d’énormes amendes imposées par les nouvelles réglementations de conformité strictes. Étant donné que les pare-feux ne suffisent plus pour protéger vos données, les entreprises doivent mettre en place plusieurs niveaux de protection pour chaque point de terminaison du réseau (des PC aux imprimantes) pour établir leurs défenses et satisfaire les exigences en matière de conformité.
Dans le monde d’aujourd’hui basé sur les technologies, la prolifération d’appareils entraîne une certaine complexité, à mesure que les entreprises se concentrent sur leur souhait de devenir des entreprises mobiles et de satisfaire les demandes de leurs employés. Chacun de ces appareils est un point d’accès et de sortie pour les données de la société et peut présenter un risque de sécurité. L’un des défis les plus important auxquels les entreprises sont confrontées aujourd’hui est la manière de contrôler et sécuriser les données sans interrompre les activités de l’entreprise. De plus en plus de données sont conservées et traitées au-delà des limites des pare-feux, rendant la tâche de sécurisation des données plus difficile pour les responsables de la protection réseau.
L’augmentation des cyber-attaques a entraîné une vague de nouvelles réglementations en matière de sécurité des données qui sont importantes pour les entreprises dans le monde entier. De nouvelles directives, telle que la EU General Data Protection Reform Act (GDPR – Loi sur la Réforme Générale de la Protection des Données de l’U.E.) ne sont pas essentielles que pour les entreprises basées au sein de l’U.E., mais s’appliquent à toute entreprise recueillant des données de résidents de l’U.E..
La GDPR de l’U.E. alerte les entreprises sur les amendes élevées si elles s’avèrent ne pas respecter celles-ci à la suite d’une attaque. Ces amendes viennent s’ajouter à la destruction financière causée par la violation de données elle-même. D’autres réglementations, telles que La Directive sur la sécurité des systèmes de réseau et d’information (Directive NIS) imposent de nouvelles exigences en matière de réseau et d’information aux opérateurs de services essentiels et aux fournisseurs de services numériques (DSP). Les entreprises devront signaler certains incidents liés à la sécurité aux autorités compétentes ou aux Équipes de Réponse d’Incidents liés à la Sécurité Informatique (CSIRT).
Certains pays mettent également en place ces réglementations avant qu’elles ne soient en vigueur. Par exemple, les Pays-Bas ont introduit la Loi sur la Notification d’Infraction en janvier 2016 qui oblige le signalement d’infractions à une Autorité de Protection de Données récemment indépendante. Le non respect peut entraîner des amendes administratives pouvant aller jusqu’à 810 000€ ou 10 % des revenus nets annuels. La pression est élevée.
Exigences clés du GDPR de l’U.E.
Les entreprises doivent être conformes si elles recueillent des données dans l’U.E.
Si une entreprise recueille et utilise des informations personnelles dans l’U.E., elle se doit de respecter les règles. Sont concernées les personnes qui achètent des marchandises et des services ainsi que celles contrôlant le comportement des clients afin d’utiliser ces informations. Par exemple, si votre entreprise surveille l’activité en ligne afin d’améliorer le ciblage de la clientèle. Même si votre société se trouve à l’extérieur de l’U.E., tout appareil pouvant accéder à des données de clients doit être sécurisé.
Les entreprises doivent être méticuleuses lorsqu’elles conservent des documents
Les exigences en matière de conservation de documents, de réalisation d’évaluations de l’impact et de rapport d’infractions demandent beaucoup de temps. Chaque fois qu’un nouvel appareil est ajouté au réseau, il doit être sécurisé selon vos politiques et contrôlé par un outil de SIEM (Systems Information and Event Management – Gestion des Événements et Informations Système) pour tracer les problèmes, permettre la rectification et assister le rapport de conformité.
Les entreprises doivent signaler une infraction dans les 72 heures
Les entreprises doivent immédiatement informer l’Association de Protection des Données et, lorsque cela est possible, le faire sous 72 heures. Dans le cas contraire, une explication motivée doit être fournie. Cette nouvelle exigence a été créée afin de protéger les droits des individus de savoir comment leurs informations personnelles sont traitées et de vérifier si les entreprises qui conservent leurs informations ont les procédures, outils et produits corrects en place pour contrôler, identifier les risques et mettre fin aux attaques afin de protéger les données des clients.
Les entreprises paieront de lourdes amendes si elles ne respectent pas ces normes
La nouvelle réglementation instaure une approche progressive des amendes et la gravité de l’infraction dictera leur montant. L’amende maximale à payer pourrait s’élever à 4 % du chiffre d’affaires annuel d’une société jusqu’à 20 millions d’euros 1. Comme cela est indiqué dans certains pays comme les Pays-Bas, des amendes encore plus élevées ont été introduites – jusqu’à 11 % des revenus annuels 2.
Comment les équipes informatiques peuvent-elles garantir que les PC et imprimantes sont conformes ?
Lorsqu’il est question de la protection de PC et d’imprimante, il existe des mesures pratiques à prendre afin de vous assurer que vos points de terminaison sont conformes, en préparation pour l’introduction de ces nouvelles réglementations.
- Se préparer pour les audits de conformité
Pour se préparer pour un audit de conformité, les équipes informatiques doivent s’assurer qu’elles peuvent contrôler efficacement toute leur infrastructure, y compris les appareils de tels que les PC et imprimantes. Elles doivent également programmer des évaluations régulières pour maintenir conforme avec la politique chaque appareil, y compris tout le parc d’imprimantes.
- Réaliser un audit complet
Les équipes informatiques doivent identifier chaque appareil pouvant accéder à leur société et aux données des clients et évaluer le niveau de sécurité qu’elles ont établi. Il leur est également recommandé d’utiliser un outil de gestion de sécurité du parc pouvant immédiatement identifier les nouveaux appareils et appliquer automatiquement les paramètres de politique de sécurité d’entreprise.
- Inclure la sécurité dès la conception
Les équipes informatiques doivent mettre en place les politiques informatiques appropriées de telle sorte que les exigences en matière de conformité ne soient pas une réflexion après coup, mais une manière intrinsèque d’introduire les nouveaux dispositifs et services dans le réseau. Assurez-vous d’être en mesure de contrôler chaque appareil, y compris vos imprimantes, et de détecter les incidents lorsque vous évaluez la vulnérabilité du réseau et les outils de contrôle, tel qu’un outil de SIEM.
En savoir plus sur comment se conformer au Règlement Général sur la Protection des Données en matière de sécurité des données et de sécurité réseau grâce au guide approfondi HP