mardi 17 juillet 2018    || Inscription
BanniereNews
 
 

Notre rubrique Tribune accueille les avis d'experts sélectionnés par la rédaction de Mag-Securs. Ils n'engagent toutefois que leurs auteurs. Les commentaires sont encouragés quoique modérés.

 

Par Sergio Loureiro, co-fondateur et PDG de la société de sécurité informatique SecludIT.

Une grande étude sur le RGPD a été lancée par Mag-Securs cet été concernant l’importance des scans de vulnérabilités et du patch management dans le maintien en conditions de sécurité (MCS). Une question spécifique à laquelle SecludIT (société éditrice de logiciels fondée en 2011 par des experts en sécurité des infrastructures) réagit afin d’éclairer les entreprises sur les démarches de sécurité que le règlement impose.

Les cyberattaques en tout genre font partie du quotidien des entreprises, après les ransomware WannaCry, Petya, et Petrwrap cette année, il ne fait nul doute que la sécurité des systèmes et des réseaux constitue un enjeu stratégique pour chaque organisation. En effet, en moyenne, plus de cinquante nouvelles vulnérabilités sont détectées chaque jour tandis que pour les entreprises, la vulnérabilité du logiciel (Windows ou autre) constitue l’une des principales méthodes d’intrusion lors d’une attaque. Parallèlement à cela, le nouveau règlement européen pour la protection des données (RGPD) qui entrera en vigueur en mai prochain contient un volet “sécuritaire” important que les entreprises ne doivent et ne peuvent négliger.

Ce que prévoit le RGPD :
• Les entreprises devront être en mesure de localiser toutes leurs données et celles de leurs clients. Pour cela, elles devront nommer un responsable de la protection des données (DPO) qui sera en charge d’établir un cahier de bord justificatif de toutes les données qui sera à présenter en cas de contrôle de la structure.
• Les entreprises devront prouver la mise en place d’un protocole de surveillance et de gestion des vulnérabilités système en continu.
• Enfin, elles seront pénalement responsables des données de leurs clients, même si ces dernières sont gérées, manipulées ou stockées par un prestataire externe lors de l’incident.

L’étude montre que les avis sont très partagés et que les entreprises ne sont malheureusement pas encore prêtes pour le règlement européen. Malgré de nombreux articles sur le RGPD, ce dernier reste mal compris pour de nombreuses entités. En effet, 39,5% des répondants ne souhaitent rien changer à leur techniques de sécurité. Le RGPD comporte portant un volet sécurité non négligeable tandis que la gestion des vulnérabilités est devenue un impératif pour le maintien en condition de sécurité des entreprises.

De nombreuses organisations disposent déjà de systèmes de détection des vulnérabilités mais ceux-ci devront être améliorés afin de protéger en continu les données et adaptables à des environnements IT de plus en plus complexes (Cloud / hybrides). Les seules mises à jour des systèmes d’exploitation sont donc largement insuffisantes. Nous conseillons à ceux qui ne souhaitaient pas changer leurs habitudes en matière de sécurité (39,5% des répondants) et aux indécis (pas moins de 18,4%) de se tourner vers de nouvelles solutions automatiques pour se conformer au règlement européen. Celui-ci va demander une réorganisation interne des services de sécurité des entreprises, il sera donc chronophage et c’est pourquoi les organisations qui n’ont pas encore réagi se doivent de le faire rapidement. De même ceux qui ont compris l’importance de la thématique (42,1% des répondants) doivent poursuivre leurs efforts et leurs démarches en amont de l’entrée en vigueur du règlement.

Minimiser l’importance de la sécurité de ses données et plus largement de ses infrastructures c’est s’exposer à des risques de cyberattaques d’une part, et à des risques financiers d’autre part. En effet, le RGPD va rendre responsable pénalement les entreprises de leurs données. De ce fait, en cas d’infraction, les sociétés encourent jusqu’à 4% de leur chiffre d’affaires total (France, Europe ou Monde selon la taille de celles-ci) d’amende, dans une limite de 20 millions d’euros d’amende maximum.

Pour gérer l’arrivée du RGPD, les entreprises doivent commencer par prendre le temps de vérifier leur politique de patch management, de scan de vulnérabilités, de suivi et de gestion des failles de sécurité. L’objectif est de renforcer la sécurité préventive avec une solution d’analyse et de gestion continue. Il sera également nécessaire d’organiser leurs équipes pour effectuer les reporting données et autres obligations pour un business plus sûr et sans encombre judiciaire malvenue pour les finances et l’image des sociétés. Le responsable des données qui doit être nommé, peut être déjà présent dans l’entreprise, nouvellement embauché pour cette mission ou indépendant. Pour d’importants volumes de données, avoir recours à une société prestataire externe peut constituer une solution plus simple.

Prêtes ou non, le RGPD prendra effet le 25 mai prochain et les entreprises ont pour obligation de s’y conformer. Alors, un conseil, “prenez une longueur d’avance” !