2018 a été une année marquante pour la conformité. Les projecteurs ont fermement été braqués sur la protection des données et les organisations ont dû réévaluer l'ensemble de leurs processus de traitement des données pour se conformer au GDPR récemment introduit.
Il ne fait aucun doute que cette législation a été le catalyseur du changement, mais l'augmentation inquiétante des cyberattaques a également fait prendre conscience de l'importance de protéger les précieuses données des clients.
Les attaques devenant de plus en plus sophistiquées, les organisations doivent adopter une approche plus proactive de la cybersécurité afin de s'assurer qu'elles sont équipées pour faire face à ces menaces en constante évolution.
Cela signifie qu'ils doivent défendre énergiquement les données qu'ils détiennent et prendre toutes les mesures nécessaires pour s'assurer qu'ils ne seront pas la prochaine entreprise victime d'une violation à faire la une des journaux.
Malgré cet engagement en faveur d'une meilleure sécurité des données, les organisations risquent de rencontrer, au cours de l'année à venir, un certain nombre de problèmes qui menacent leur conformité permanente.
Les cinq principaux règlements informatiques et problèmes de conformité auxquels les organisations seront confrontées en 2019.
RGPD (GDPR)
Le très médiatisé GDPR est entré en vigueur le25 mai et pose de nouvelles bases sur la manière dont les organisations traitent et manipulent les données à l'avenir. La législation a modernisé les règles de protection des données et permet désormais aux individus de mieux contrôler qui collecte et traite leurs données, à quoi elles servent et comment elles sont protégées.
Les organisations doivent être en mesure de démontrer leur conformité à la législation, sous peine de se voir infliger de lourdes amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros. Les amendes dépendront également de la gravité de la violation et des mesures prises par les organisations pour prouver leur conformité.
Cependant, le25 mai n'était en aucun cas un point final pour le GDPR. La démonstration de la conformité au GDPR est un processus continu et les organisations devront continuellement identifier et traiter les risques liés à la confidentialité et à la sécurité afin de s'assurer qu'elles ne tombent pas sous le coup de la législation.
Règlement sur la protection de la vie privée
Les organisations ont passé les six derniers mois à se familiariser avec le GDPR et elles doivent déjà se préparer à un nouveau règlement européen qui exigera une conformité égale au droit européen.
Le règlement sur la protection de la vie privée en ligne devrait être mis en œuvre dans les 6 à 12 prochains mois et il tiendra compte des avancées technologiques et se concentrera spécifiquement sur la vie privée des individus en ce qui concerne les communications électroniques. Cela comprendra les données sur les sites web, les SMS, les courriels, les réseaux sociaux, les blogs, les applications, la VoIP, la vidéo, la messagerie des médias sociaux et les dispositifs IoT.
Bien qu'il y ait un certain chevauchement entre le GDPR et le règlement ePrivacy, la principale différence est que le GDPR couvre le traitement des données personnelles sous toutes les formes, tandis que le règlement ePrivacy couvre les communications électroniques. Les organisations devront démontrer qu'elles se conforment pleinement à la législation, sous peine de se voir infliger les mêmes amendes salées que celles prévues par le GDPR.
Le règlement "vie privée et communications électroniques" s'appliquera à toute personne et à tout pays qui fournit des services de communication électronique à l'UE, mais il devrait avoir un impact plus important sur certains secteurs que sur d'autres. Les secteurs tels que le marketing, la publicité et les médias ne pourront plus envoyer de matériel promotionnel à leurs clients sans leur consentement préalable.
Prestataires de services tiers
La cybersécurité et la conformité sont devenues des priorités essentielles pour les organisations, mais un domaine qui tend à être négligé est celui des tiers. Ces dernières années, il est devenu normal pour les organisations de faire appel à un grand nombre de fournisseurs tiers différents pour soutenir les fonctions essentielles de l'entreprise, et souvent beaucoup de ces parties auront accès aux systèmes et aux données internes de l'entreprise. Cette interconnectivité représente un risque énorme pour la sécurité et la conformité d'une organisation.
Les organisations peuvent avoir mis en place des systèmes de sécurité et de défense à toute épreuve, mais les pirates ne savent que trop bien que le moyen le plus simple de contourner ces défenses est d'exploiter les vulnérabilités des systèmes tiers. En général, ces fournisseurs n'ont pas mis en place des défenses de cybersécurité aussi solides et constituent un point faible facile à attaquer.
Certaines des plus grandes cyberattaques de l'histoire sont le résultat de violations commises par des tiers et une récente enquête menée par Soha Systems a révélé que 63 % de toutes les cyberattaques pouvaient être attribuées directement ou indirectement à des tiers.
À l'avenir, les organisations devront évaluer leur cybersécurité sous de multiples angles et s'assurer que des directives et des systèmes appropriés sont respectés par leurs prestataires externes. En vertu du GDPR, les organisations sont désormais légalement tenues de fournir aux régulateurs l'assurance que leurs prestataires de services tiers sont conformes à la nouvelle réglementation en mettant en place de bons contrôles de cybersécurité et de confidentialité.
Employés
Les employés sont peut-être votre plus grand atout, mais ils sont aussi votre maillon le plus faible. Les cybercriminels ciblent souvent les employés d'une organisation, car ils constituent le moyen le plus facile d'infiltrer un système.
88 % de toutes les violations de données peuvent être attribuées à une erreur humaine. Il est donc essentiel que les organisations investissent dans une formation de sensibilisation à la cybersécurité de haute qualité qui permettra au personnel de reconnaître le rôle important qu'il joue dans la protection des données sensibles de l'entreprise.
Cette formation permettra non seulement d'informer le personnel sur l'éventail des menaces auxquelles il est confronté en interne, mais aussi d'aborder les risques de cybersécurité auxquels il est confronté lorsqu'il travaille à distance. Le travail à distance peut présenter un risque sérieux pour la sécurité et rendre le réseau, les systèmes et les appareils informatiques d'une organisation très vulnérables aux attaques. Les informations contenues dans les appareils mobiles sont extrêmement précieuses pour les cybercriminels, qui profiteront de toute faille dans la sécurité pour dérober ces données sensibles.
Une formation efficace de sensibilisation à la cybersécurité permettra d'éduquer le personnel, de réduire les risques de violation des données et de contribuer à l'instauration d'une culture de conformité renforcée en matière de sécurité.
Gestion des logiciels
Pour se mettre en conformité, les organisations doivent défendre chaque point d'accès afin de s'assurer que les pirates ne peuvent pas pénétrer dans leurs systèmes. L'une des principales causes des cyberattaques est l'absence de correctifs sur les systèmes. De nouvelles vulnérabilités sont découvertes en permanence et si des correctifs ne sont pas appliqués, les pirates les exploiteront pour s'introduire dans un réseau.
L'application de correctifs permettra de s'assurer que chaque logiciel utilisé dans une organisation est à jour avec les versions les plus récentes publiées par le fabricant. Les organisations devront adopter une approche proactive de l'application des correctifs pour s'assurer qu'elles sont en mesure de détecter toute vulnérabilité avant qu'un pirate ne le fasse.
MetaPrivacy a été conçue pour fournir une approche des meilleures pratiques en matière de conformité à la législation sur la protection des données. Contactez-nous pour plus d'informations sur la façon dont nous pouvons aider votre organisation à améliorer sa structure de conformité.
