amendes rgpd
Produits et Services PRODUITS & SERVICES

5 conseils pour éviter les amendes RGPD

Après que l’ICO ait infligé 450 millions de dollars (environ 399 millions d’euros) d’amendes RGPD en une semaine, assurez-vous de ne pas être le prochain sur la liste !

Récemment, British Airways (BA) et les hôtels Marriott ont fait la Une de l’actualité à cause des amendes RGPD infligées plutôt lourdes, 229 millions de dollars (environ 203 millions d’euros) pour BA et 123 millions de dollars (à peu près 109 millions d’euros) pour Marriott.

Les amendes montrent que le RGPD (Règlement Général sur la Protection des Données) a donné aux autorités chargées de le faire appliquer, telles que l’ICO britannique (Information Commissioner’s Office), de sérieux moyens d’action. L’amende infligée à BA est près de 400 fois supérieure à l’amende record précédente, à savoir une amende de 645 000 dollars (environ 571 500€) infligée par l’ICO à Facebook pour le scandale Cambridge Analytica.

Avec ces nouvelles amendes RGPD en tête, c’est le moment idéal pour minimiser les risques d’être le prochain sur la liste.

Le RGPD se focalise sur la protection des citoyens de l’Union européenne et s’applique à quiconque détient des données à caractère personnel concernant un citoyen de l’Union européenne, où que vous soyez dans le monde. Marriott, une entreprise américaine, en est un bon exemple.

Voici cinq conseils que nous recommandons, à toute entreprise, de suivre afin de réduire au minimum le risque de se voir infliger des amendes RGPD pour perte de données :

  1. Patchez tôt, patchez souvent. Minimisez le risque d’être victime d’une cyberattaque en corrigeant les vulnérabilités pouvant être utilisées pour accéder illégalement à vos systèmes. Il n’y a pas de périmètre particulier défini, donc tout a de l’importance : installer les correctifs disponibles, partout !
  2. Sécurisez les données personnelles dans le cloud. Traitez le cloud comme n’importe quel autre ordinateur : fermez les ports et services indésirables, chiffrez les données et assurez-vous que les contrôles d’accès en place sont adaptés. Enfin faites-le au niveau de tous vos environnements, y compris le service qualité et le développement.
  3. Minimisez l’accès aux données personnelles. Réduisez votre exposition aux risques en ne collectant et en ne conservant que les informations dont vous avez besoin, et en vous assurant que seules les personnes ayant accès à ces informations sont celles qui en ont besoin pour mener à bien leur mission.
  4. Sensibilisez votre équipe. Assurez-vous que toutes les personnes susceptibles d’entrer en contact avec des données à caractère personnel savent comment gérer ces dernières : il s’agit d’ailleurs d’une exigence du RGPD.
  5. Documentez et prouvez vos activités en matière de protection des données. Soyez en mesure de montrer que vous avez pensé à la protection des données et que vous avez pris les précautions nécessaires pour sécuriser les informations personnellement identifiables.

Sophos peut vous aider

Tout d’abord, afin de minimiser le risque que des attaquants accèdent à vos données, nous proposons une gamme complète de solutions de cybersécurité, notamment la protection des systèmes endpoint Intercept X et XG Firewall. Découvrez-les, dès aujourd’hui, avec nos démonstrations en ligne gratuites.

Si vous utilisez Amazon Web Services (AWS), Microsoft Azure ou Google Cloud Platform (GCP), consultez notre guide intitulé Securing the Public Cloud: Seven Best Practices. Il clarifie les responsabilités que vous avez et celles que vous n’avez pas et comment protéger les données et les workloads dans le cloud public.

Lorsqu’un ordinateur portable disparaît, vous devez être en mesure de montrer qu’il a bien été chiffré. Sophos Central Disk Encryption est le moyen le plus simple de gérer de manière centralisée le chiffrement BitLocker et FileVault et de prouver que vous l’avez effectivement déployé.

Réfléchissez au volume de données personnelles que vous possédez sur votre téléphone portable professionnel. C’est un risque équivalent en matière de sécurité à celui que constitue votre ordinateur portable. Sophos Mobile vous permet de verrouiller et d’effacer à distance un appareil mobile perdu, ainsi que de démontrer qu’il est chiffré.

Sophos Disk Encryption et Sophos Mobile sont disponibles via Sophos Central. Si vous utilisez déjà Sophos Central, vous pouvez obtenir un essai gratuit en quelques clics depuis votre console. Si ce n’est pas le cas, obtenez votre essai gratuit dès aujourd’hui.


Billet inspiré de 5 ways to avoid a GDPR fine, sur Sophos nakedsecurity.