Le 25 mai 2020 a marqué les deux ans de l’entrée en vigueur du RGPD, règlement qui a pour but de redonner aux citoyens européens le contrôle sur leurs données personnelles. Cependant, un certain nombre d’entreprises éprouvent des difficultés à s’y conformer, une situation aggravée alors que de nombreux employés sont toujours en télétravail du fait de la crise sanitaire actuelle. En effet, selon une étude récente de Leonne International, 42 % des décideurs français estiment que leur système mis en place pour le travail à distance pendant la pandémie ne respecte pas le RGPD.

En essayant de se conformer rapidement, des entreprises ont déployé des outils de sécurité qui se révèlent au mieux non optimaux, et au pire inefficaces. Par exemple, certaines plateformes peuvent avoir des fonctionnalités qui empêchent les équipes informatiques de sécuriser efficacement les différents types de données sensibles ; telles que les informations personnelles identifiables. En outre, en termes de catégorisation des données, les faux positifs sont un problème récurrent pour certains outils. Des données précieuses peuvent par conséquent être classées comme non sensibles et rester surexposées, augmentant les risques de sécurité et de non-conformité.

Depuis plusieurs semaines, de nombreuses organisations ont massivement adopté le télétravail, migrant leur workloads vers le cloud ; mais certaines de leurs technologies de sécurité ne prennent pas en charge les applications SaaS. Pour éviter cette problématique et assurer une meilleure sécurité globale des données, une organisation doit donc identifier toutes les sources de données sensibles et déterminer comment les classer. Si les données sont stockées dans des formats autres que du texte, tels que des images ou des PDF, il est important que l’outil puisse trouver, identifier et protéger tous ces formats à la fois sur site et dans le cloud ; ainsi que de connaitre qui accède aux données sensibles, à quel moment, et d’alerter en temps réel sur les activités suspectes.

Une autre erreur est de ne pas identifier et supprimer des données sensibles dans les fichiers temporaires. Ces derniers sont générés automatiquement à la suite d’opérations de service client variées. Par exemple, lors d’un renouvellement de cartes de crédit, des institutions financières omettent de nettoyer les logs qui pourraient contenir la date de naissance du client et les codes PIN temporaires émis. Un autre domaine à haut risque dans ce secteur est celui des documents numérisés utilisés dans les processus de vérification de l’identité ; ces informations restent souvent accidentellement surexposées, ce qui entraîne un cyber-risque élevé. Pour éviter la surexposition des données sensibles dans ces zones négligées, un workload permet à une organisation de nettoyer automatiquement les données sensibles dans les fichiers temporaires. La technologie sera capable d’identifier des types spécifiques de données sensibles dans tous les environnements informatiques et de les supprimer si nécessaire.

Enfin, l’un des principaux points de vigilance concerne les données sensibles des clients partagées dans les emails. Ce risque subsiste, car les clients ne savent bien souvent pas comment traiter leurs propres informations critiques. Ils peuvent notamment partager leurs données bancaires en interagissant avec le support client. Bien que le client soit alors à l’origine du risque en partageant des informations sensibles dans un format non sécurisé, il incombe à l’organisation de s’assurer qu’elle protège ces données. Si ces dernières restent stockées sur un serveur de messagerie, cela est en effet considéré comme un emplacement inapproprié du point de vue du RGPD. Pour éviter les amendes, une entreprise doit par conséquent examiner régulièrement les serveurs de messagerie pour identifier les données sensibles, les déplacer vers un emplacement de quarantaine et supprimer le message d’origine.

Finalement, les organisations ne devraient pas se reposer sur un faux sentiment de sécurité en mettant en place des outils de cybersécurité et des processus de conformité. La gestion des données sensibles demande en effet une réflexion et une gestion quotidienne. La pandémie du COVID-19 a en outre entraîné un changement sans précédent dans l’environnement de travail et la façon dont les utilisateurs accèdent à leurs données. Certaines technologies, efficaces auparavant, pourraient désormais ne pas être optimales dans cette nouvelle normalité. Il est donc primordial que les entreprises s’adaptent tout en s’assurant de ne pas commettre les erreurs communes dans la collecte et gestion des informations sensibles.
___________________

Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix