Home / Articles / Comment mieux protéger les données au sein de mon entreprise ? 3 take-aways de « BlackAlps – Cybersécurité pour PME »
Création numérique / Réalité Augmentée

Comment mieux protéger les données au sein de mon entreprise ? 3 take-aways de « BlackAlps – Cybersécurité pour PME »

par Sandrine Barrucand

« Cybersécurité pour PME » est une série d’évènements organisée chaque année par Innovaud, Y-PARC et Alp ICT, dans le cadre de la conférence BlackAlps. L’objectif est d’aborder différentes thématiques touchant à la sécurité de l’information, à destination des PMEs de notre région, afin de leur apporter un éclairage sur les enjeux de la cyber-sécurité.

L’édition 2018 a eu lieu le 29 mai à Y-Parc, sur une problématique récurrente en entreprise mais souvent négligée, à savoir la protection des données face aux menaces internes : fuites ou destructions de données, négligence, malveillance d’un employé ou ex-employé, ou autres. Les conséquences d’un tel incident sont souvent importantes : pertes de données clients, pertes d’avantages compétitif, sans compter les éventuels problèmes légaux, notamment lié à la protection des données personnelles.

Les chiffres parlent : 5’000 data sets volés ou perdus par minute dans le monde, 67% des entreprises n’ont pas de plan en cas d’attaque. Le contexte est posé dès le début de l’événement par notre modérateur Yohann Perron, qui nous rappelle l’urgence et l’importance de s’équiper face à ces menaces. Mais comment ?

Des pistes de solutions concrètes nous ont été partagées par trois sociétés actives dans ce domaine: HDC Légal, ELCA et Pryv que nous remercions.  

#1 Take-away légal : Quelles sont vos obligations au regard du droit actuel et futur ?

Avec l’entrée en vigueur du Règlement général sur la protection des données (RGPD) il y a seulement quelques jours, il était important de clarifier les obligations des entreprises suisses. De plus, les récents scandales liés spécifiquement à la sécurité des données ne concernent pas seulement Facebook, Cambridge Analytica ou Equifax. 800’000 clients de Swisscom ont subi un vol de données en octobre dernier, et n’ont été prévenus qu’en février 2018. Est-ce que Swisscom aurait du les notifier plus vite ? Quelle est la règlementation en termes de sécurité et de réactivité en cas de problème ? Négliger cet élément peut avoir des conséquences très négatives, tant en termes de sanctions que de réputation.

David Raedler, docteur en droit, avocat chez HDC Légal et vice-président du Tribunal de Prud’hommes, nous a présenté les bonnes pratiques à respecter afin de limiter au mieux les risques qui se posent. 

Le RGPD n’est pas directement applicable en Suisse sauf pour les cas suivants :

  1. Vous traitez les données de personnes européennes ;
  2. Vous proposez des biens ou services régulièrement à des personnes européennes ;
  3. Vous faites un profilage de personnes qui sont dans l’Union Européenne.

Droit suisse actuel :

Selon le principe général du droit suisse actuel (Art 7 de la LPD), la protection des données personnelles s’étend non seulement à l’entreprise traitant la donnée mais aussi aux sous-traitants. David conseille donc de prévoir des mesures techniques et organisationnelles appropriées dans un contrat avec vos sous-traitants. 

Droit suisse futur :

La LPD est en cours de révision, avec le triple objectif de se rapprocher du droit européen, améliorer la sécurité des données et tenir compte de l’évolution technologique. Une des modifications principales sera l’obligation d’annoncer les violations (au préposé, au responsable du traitement et à la personne concernée), ce qui n’est pas le cas dans le droit suisse actuel. On peut noter aussi une volonté d’avoir des données non nominatives (pseudonymisation) pour augmenter la sécurité. Le P-LPD devrait entrer en vigueur d’ici 2020. 

Comment faire pour respecter ces obligations ?

  • Recenser les traitements de données et les supports sur lesquels elles reposent
  • Apprécier les risques engendrés par chaque traitement
  • Mettre en oeuvre et vérifier les mesures prévues
  • Faire réaliser des audits de sécurité périodiques. 

4 conseils pour garantir la sécurisation de vos données :

  1. Bien connaitre votre environnement informatique, sécuriser vos systèmes
  2. Limiter le nombre de données à traiter et les pseudonymiser 
  3. Mettre en place une procédure interne claire pour réaction immédiate en cas de vol de données
  4. Transparence : informer vos employés et réguler ce qu’ils doivent faire 

#2 Take-away technique : Chiffrement des données, un compromis entre sécurité et utilisabilité

Comment je sécurise tout en garantissant l’accès aux données ?

Le chiffrement des données, qui consiste à ne plus avoir de données nominatives, est une solution. Appelé aussi anonymisation ou pseudonymisation, ce processus permet de protéger vos données sensibles sans restreindre leur utilisation. Jean-Luc Beuchat, Manager chez la société IT suisse ELCA, nous a présenté les possibilités existantes au travers de trois cas d’usage.

Attention cependant, chiffrer ses données n’est pas suffisant. Jean-Luc recommande aux entreprises de nommer un security officer ou administrateur système à qui l’on peut faire confiance. Il permettra d’authentifier les informations, effectuer le renouvellement des clés et assurer la passation en cas de changement de collaborateurs. Un vrai travail d’éducation est à mettre en place pour que vos équipes comprennent bien comment utiliser ces outils. 

3 conseils pour réussir le chiffrement de vos données :

  1. Utiliser des standards (algorithmes qui ont été évalués)
  2. Comprendre comment utiliser les clés
  3. Faire appel à des experts

#3 Take-away conformité : Comment la confidentialité peut-elle garantir la disponibilité des données personnelles conformes pour un usage professionnel?

Les données personnelles donnent lieu à une nouvelle économie, comme nous l’a exposé la co-fondatrice et CBDO de Pryv, Evelina Georgieva. L’émergence de services et produits personnalisés mettent en lumière la valeur que les données personnelles apportent aux entreprises et aux particuliers. Les bénéfices pour les entreprises utilisant des applications fondées sur des données personnelles est estimé à 330 milliards d’euros par an d’ici 2020.

Ainsi, l’accès aux données personnelles et leur sécurisation est devenu critique. La gestion de la vie privée et du consentement sont des must-haves mais ils n’ont pas besoin d’être contraignants. Au contraire, la confidentialité peut être source de nouvelles opportunités pour votre entreprise, comme développer des services personnalisés et renforcer votre image auprès de vos clients. Garantir la confiance numérique vous apportera un véritable avantage compétitif. 

L’entreprise suisse Pryv présente une solution innovante qui permet aux entreprises de gérer les données personnelles dans le plein respect de la confidentialité des données. Elle est conçue pour répondre aux demandes croissantes des clients et des organismes de réglementation pour une gestion plus transparente et plus fiable des données personnelles. Kinntek, un pionnier suisse de HealthTech, a déjà intégré ce logiciel de confidentialité afin de commercialiser sa solution de physiothérapie numérique avec une capacité avancée de préservation de la confidentialité. La solution deep tech suisse favorise la protection des données personnelles dès leur création, puis tout au long de leur utilisation, partage, et portabilité. Cela permet de guider les décisions de votre entreprise pour garantir sa conformité, tout au long du cycle de vie des projets, services et innovations

4 conseils pour garantir votre conformité:

  1. Connaître le paysage juridique
  2. Sécuriser les données disponibles
  3. Garantir la transparence afin de gagner plus de confiance
  4. Connaitre les besoins de vos clients pour développer de meilleures offres

LIENS UTILES

Présentations de nos intervenants:

Guides ressources:

Scroll up