Qu'est-ce que le chiffrement et que protège-t-il ?
Le chiffrement est le processus qui consiste à coder des informations afin qu'elles ne soient pas accessibles à des personnes non autorisées. Si les données chiffrées de votre entreprise font l'objet d'une fuite, la personne qui les vole ou les trouve ne pourra pas les lire, car elles sont inintelligibles sans la clé de déchiffrement appropriée.
Beaucoup de gens ne savent pas qu'un grand nombre d'informations sont déjà protégées par la technologie de chiffrement. Par exemple, les achats en ligne et les services bancaires en ligne ne fonctionneraient pas sans un bon chiffrement. Le chiffrement est conçu pour protéger l'argent et les informations personnelles. En ce qui concerne l'environnement professionnel, le chiffrement doit être utilisé pour protéger la propriété intellectuelle et le savoir-faire de votre entreprise, ainsi que les données personnelles que vous traitez au sein de votre entreprise.
En savoir plus
La propriété intellectuelle et le savoir-faire peuvent inclure les produits ou services créés par votre entreprise. Il peut également s'agir des méthodes que vous utilisez pour vendre avec succès ces produits, ou des processus utilisés pour garantir leur bon fonctionnement tout au long de leur cycle de vie. De même, ils peuvent inclure les plans d'affaires et de marketing pour l'année civile suivante. Toutes ces informations peuvent être monétisées ou utilisées à mauvais escient par un cyberattaquant ou un voleur.
Les informations personnelles que votre entreprise collecte et traite peuvent inclure des informations sur vos clients et vos employés. Vous êtes tenu par la loi de protéger l'accès à ces données, comme le stipule le règlement général sur la protection des données (RGPD) de l'Union Européenne.
RGPD et chiffrement
Le RGPD définit les données à caractère personnel. Il s'agit notamment des noms et prénoms, des photographies, des adresses électroniques, des numéros de téléphone, des numéros de compte, des empreintes digitales et des voix. Ce règlement, qui est en vigueur dans tous les États membres de l'UE depuis le 25 mai 2018, décrit le chiffrement comme une protection contre tout risque lié à la réputation.
Imaginez qu'un de vos employés perde une clé USB qui contient une liste de vos clients. Selon le RGPD, vous devez informer toutes les personnes figurant sur la liste de l'incident. Elles peuvent percevoir la violation de données comme une raison de changer de fournisseur. Toutefois, l'obligation d'informer ces personnes ne s'applique pas si leurs données personnelles ont été chiffrées.
Savez-vous ce qu'il faut faire si votre entreprise a divulgué des informations personnelles ?
Obligation d'informer le régulateur :
Vous devez signaler toute violation de données personnelles à l'autorité compétente en matière de protection des données. Cette obligation s'applique non seulement aux incidents majeurs, tels que les fuites importantes de bases de données, mais aussi aux erreurs mineures. Par exemple, si vous mélangez par erreur le contenu d'enveloppes destinées à deux destinataires différents, vous devez le signaler.
72 heures
Vous devez notifier l'incident à l'autorité de surveillance compétente dans un délai de 72 heures à partir du moment où vous en avez pris connaissance, et non à partir du moment où l'incident s'est produit. Toutefois, si ce délai n'est pas respecté, le retard de notification (c'est-à-dire les raisons pour lesquelles la violation n'a pas été signalée dans les 72 heures) doit être justifié.
Obligation d'informer les personnes concernées
Dans les cas plus graves, outre la notification à l'autorité de protection des données, vous devez également informer les personnes dont les données ont été affectées par l'incident. Toutefois, cette étape n'est pas nécessaire si l'incident s'est produit après que votre entreprise a mis en œuvre des mesures de sécurité techniques et organisationnelles appropriées, en particulier celles qui rendent les données personnelles inintelligibles à toute personne non autorisée à y accéder. Le terme juridique assez compliqué de "mesures techniques" fait référence au chiffrement.
Amendes éventuelles liées au RGPD
Le non-respect de l'obligation de signaler une violation de données à l'autorité de contrôle compétente est passible d'une amende pouvant aller jusqu'à 10 millions d'euros ou, dans le cas d'une entreprise, jusqu'à un maximum de 2 % de son chiffre d'affaires annuel mondial de l'exercice précédent. En plus d'une sanction financière élevée, l'autorité de protection des données peut également promulguer les mesures suivantes :
- une limitation temporaire ou définitive, y compris une interdiction de traitement des données à caractère personnel
- suppression des données personnelles
Cela signifie que vous pourriez soit perdre tous les contacts de vos clients existants, soit que votre entreprise pourrait être temporairement interdite de stockage de ces données.
Les violations de données touchent les entreprises de toutes tailles
De nombreuses entreprises pensent qu'elles ne sont pas vulnérables aux cyberattaques ou aux violations de données en raison de leur petite taille et de leurs actifs limités. Malheureusement, ce n'est pas le cas : selon les analystes IDC, les petites et moyennes entreprises sont victimes de plus de 70 % des failles de sécurité. Mais la bonne nouvelle est que les entreprises n'ont pas besoin de signaler les cyberattaques, sauf si des données personnelles ont été compromises ou ont fait l'objet d'une fuite.
En raison de la fausse impression que les autres entreprises ne sont pas confrontées à des cyberattaques, les entreprises peuvent avoir honte ou craindre une attention négative si elles signalent une attaque.
ESET a observé que pendant la première année suivant l'entrée en vigueur du RGPD, les autorités de surveillance en Europe étaient encore en train de se familiariser avec les nouvelles règles. Il est probable qu'elles imposent désormais davantage d'amendes.
Toutefois, l'expérience montre que si les entreprises concernées coopèrent, elles ont tendance à recevoir des pénalités moins élevées. Il semble également que si votre entreprise n'est pas un géant de l'internet, il est peu probable que vous receviez une amende maximale.
Nous recommandons donc aux organisations de toujours respecter l'obligation de notification, de coopérer avec les autorités de surveillance et d'éduquer leurs employés sur ce que sont les données personnelles et comment elles doivent être protégées.
Solutions de chiffrement ESET
ESET Endpoint
Encryption
ESET Endpoint Encryption protège les données sensibles sur les appareils de l'entreprise par le biais du chiffrement. Il assure le chiffrement des fichiers et des dossiers, des e-mails et des pièces jointes, des supports amovibles, des disques virtuels ainsi que de l'ensemble du disque. Il est facile à utiliser, offre un contrôle total à distance des clés de chiffrement et ne nécessite aucun serveur pour son déploiement. Demandez un essai gratuit de 30 jours et essayez ESET Endpoint Encryption dans votre entreprise.