À compter du 25 mai 2018, toutes les entreprises traitant des données personnelles devront être aux normes avec le RGPD. La date fatidique approche à grands pas. Il faudra encore y mettre encore plus de travail pour peaufiner les changements déjà apportés à l’entreprise. Voici quelques rappels pour se mettre bien à jour.

Encadrer le travail des collaborateurs mobiles

Avec les nombreuses possibilités offertes par le cloud, le nombre de travailleurs mobiles au sein des entreprises ne cesse d’augmenter. Ils peuvent avoir un accès illimité aux applications et services basés dans le cloud, et ce, où qu’ils soient dans le monde.

Limiter les risques de fuites des données entrainés par cette mobilité contribue à respecter les nouvelles normes du RGPD 2018. Ainsi, les entreprises devront mettre en place de nouvelles mesures permettant un meilleur contrôle et une nouvelle politique de gestion des données prenant en compte le contexte des travailleurs mobiles : lieu de travail, risques sécuritaires inhérents à l’emplacement du travailleur, performance des outils de travail, fiabilité du réseau…

Améliorer la gestion des contrôles d’accès privilégiés

Il est de coutume pour les organisations d’accorder des droits d’accès privilégiés à certaines catégories de personnes (dirigeant, direction…). Le problème est que ces utilisateurs privilégiés figurent en tête de liste des cibles des personnes malveillantes (pirate informatique, concurrent déloyal…). La raison est que leurs droits d’accès permettent de naviguer facilement sur les réseaux privés et les applications d’entreprise.

Pour minimiser les risques, il sera donc important de mettre en place des contrôles d’accès dynamiques. Les droits des utilisateurs privilégiés doivent rapidement être verrouillés quand un utilisateur termine une tâche ou ferme une application. De plus, pour encore plus de sécurité les codes d’accès de ces utilisateurs privilégiés doivent avoir une authentification forte.

Limiter le taux de réussite des logiciels pirates

Il est commun pour les cybercriminels d’utiliser des attaques d’hameçonnage par e-mail, pour pouvoir accéder aux données personnelles manipulées par l’entreprise. Si la plupart des établissements ont déjà installé une forme de whitelisting, c’est encore insuffisant pour limiter à un niveau acceptable les risques de violation de données.

En plus du whitelisting, il faudrait ajouter d’autres contrôles comme l’utilisation d’une signature avant de pouvoir ouvrir un fichier ou lancer une application. Ces contrôles peuvent permettre d’empêcher aux utilisateurs de lancer accidentellement une attaque. La mise en place de ce type de contrôle répond parfaitement aux exigences du RGPD.

Améliorer la gestion du parc machine

Bien des entreprises utilisent encore des processus manuels pour gérer leurs parcs machines en cas de licenciement ou d’embauche. Mais ces types de process entrainent beaucoup d’erreurs systèmes. Des études démontrent que même après leur départ de l’entreprise, de nombreux travailleurs peuvent encore avoir accès aux données de l’entreprise. Et ce pendant une période assez prolongée.

Pour éviter ce genre de situation, il serait plus judicieux d’investir dans la mise en place de processus informatiques permettant des accès automatisés, mais plus contrôlés aux applications. Grâce à cette approche, la sécurité des données peut être améliorée et les exigences du RGPD complétées.