Depuis son application en 2018, la CNIL (Commission Nationale de l’Informatique. et des Liberté) a infligé sur notre territoire 600 millions d’euros d’amendes pour des infractions au RGPD. Un montant conséquent, qui place la France au 3ᵉ rang des pays européens qui sanctionne le plus.
Contrairement aux idées reçues, ce chiffre ne concerne pas que les grandes entreprises, les sociétés de toutes tailles sont aujourd’hui concernées. Comment ?
Pour ce faire, la CNIL a mis en place un traitement des infractions mineures simplifiées.
Ainsi, la volonté des législateurs français et européens est claire : élever le niveau de sécurité des organisations et les pousser vers une mise en conformité dans le but de protéger les informations personnelles des citoyens.
Comment éviter les sanctions ?
Que faire pour assurer la conformité de votre entreprise aux réglementations et normes en vigueur ?
Gestion des risques, protection des données, définition des priorités…Gaïa Informatique déchiffre pour vous le sujet de la conformité en entreprise.
Qu’est-ce que la conformité en matière de cybersécurité ?
Dans le domaine de la cybersécurité, la conformité consiste à démontrer que votre entreprise respecte les exigences légales et les normes en vigueur.
Il existe deux types d’exigences, à ne pas confondre.
Les exigences liées à des normes volontaires,
établies par consensus et validées par des organismes privés de normalisation (ex : ISO, AFNOR). Ces normes sont des référentiels qui permettent de construire la gouvernance informatique de votre entreprise.
De manière concrète la gouvernance informatique désigne l’ensemble des règles et prises de décision permettant de répondre aux exigences en matière de cybersécurité. Ces normes vont introduire des exigences techniques qui seront intégrées à la gouvernance de l’entreprise.
Par exemple, une entreprise doit mettre en place une procédure de gestion des accès utilisateur. Pour ce faire l’entreprise devra par soit faire appel à un prestataire informatique qui va gérer les demandes comment nous le faisons chez Gaïa Informatique ou investir dans un outil logiciel dédié à cet effet.
Sans valeur légale, les normes témoignent donc de l’engagement d’une entreprise à satisfaire un niveau de qualité et de sécurité reconnu.
Les obligations réglementaires,
telles que le RGPD pour la protection des données personnelles. Ce sont des textes législatifs appliqués par les gouvernements, qui engagent dans ce cadre la responsabilité juridique des entreprises, et dans certains cas la responsabilité pénale des dirigeants. Ainsi, le non-respect des réglementations peut entraîner des sanctions financières, des peines et nuire à la réputation des entreprises ayant commis des infractions.
Votre entreprise est-elle concernée par la conformité aux normes et réglementations en matière de cybersécurité ?
La réponse est oui. Quels que soient sa taille et son secteur d’activité, une entreprise est aujourd’hui concernée par les obligations de conformité en matière de cybersécurité. Le RGPD, a minima, s’applique à toute organisation traitant des données personnelles : adresses e-mail, coordonnées clients ou informations sur les salariés). Cela concerne donc aussi les TPE et PME. En cas de manquement, les sanctions prévues par la réglementation peuvent atteindre, selon la situation, 20 millions d’euros ou 4 % du chiffre d’affaires
Respecter la conformité permet donc d’éviter les sanctions financières, mais pas seulement. C’est aussi une façon de répondre aux attentes croissantes des clients, partenaires et donneurs d’ordre, qui privilégient des prestataires capables de démontrer d’un niveau de compétences en matière de cybersécurité avancé.
Enfin, il ne faut pas oublier que ces obligations ont pour objectif d’inciter les entreprises à renforcer la sécurité de leurs systèmes d’information. Les bénéfices sont concrets : meilleure protection des données de l’entreprise et des clients, limitation des temps d’arrêt informatique et de leur impact négatif sur l’activité de l’entreprise.
Êtes-vous alignés avec les bonnes pratiques en matière de cybersécurité ?
Vous ne savez pas par où commencer pour évaluer votre conformité aux bonnes pratiques de cybersécurité ? Voici quelques questions à se poser pour savoir comment vous positionner.
Les bonnes pratiques à respecter
1. Protégez-vous les données confidentielles de vos clients et collaborateurs ?
Pensez à activer les modules de sécurité sur vos réseaux, logiciels et machines du parc informatique de l’entreprise. Pour assurer une protection complète, il est également recommandé de procéder au chiffrement des postes de travail et serveurs, et d’effectuer des sauvegardes régulières, testées et idéalement organisées selon la règle du 3-2-1 (trois copies, deux supports, dont un isolé du réseau principal).
2. Contrôlez-vous les accès aux informations ?
L’accès aux informations et outils doit être restreint et adapté au profil de chaque utilisateur (règle du moindre privilège). Pour prévenir le vol d’identifiants, en plus de mots de passe complexes et régulièrement renouvelés, la mise en place de l’authentification multifacteur (MFA) est fortement recommandée.
3. À quand remonte votre dernier diagnostic de sécurité informatique ?
Un diagnostic de sécurité informatique permet d’identifier les failles de sécurité et les non-conformités au sein de votre système d’information. En appliquant les
correctifs dans les délais recommandés, vous renforcez votre conformité avec les obligations réglementaires.
4. Communiquez-vous sur la sécurité informatique en interne ?
Une charte informatique formalisée, accessible à tous, ainsi que des actions de sensibilisation (formations, campagnes de phishing) contribuent à renforcer la culture de la cybersécurité à l’échelle de l’entreprise.
5. Êtes-vous en mesure de prouver l’efficacité des actions mises en œuvre ?
Un référent doit suivre les actions menées et fournir si nécessaire des éléments prouvant votre conformité. Vous pouvez également vous appuyer sur un prestataire informatique comme Gaia Informatique qui joue le rôle de responsable informatique externalisé
Les erreurs courantes en matière de conformité.
En matière de cybersécurité, certaines erreurs freinent la mise en conformité et exposent les entreprises au non-respect des réglementations.
Minimiser les risques : « Nos données ne sont pas critiques, nous ne risquons pas grand-chose ». Ces idées reçues exposent les entreprises au non-respect des réglementations qui s’appliquent.
Réduire la cybersécurité à des outils : la mise en conformité est un processus global, qui englobe des aspects techniques et organisationnels. Même s’il s’agit d’un bon point de départ, installer un antivirus et un gestionnaire de mots de passe ne suffit pas à assurer la conformité réglementaire d’une entreprise.
L’absence de documentation et de preuves de conformité : sans politique ni procédures écrites, il est difficile de prouver ses pratiques lors d’un audit ou d’un incident. Pour prouver que vous respectez les règles en vigueur, les régulateurs et auditeurs demandent des preuves concernant les actions menées.
Gaïa Informatique vous accompagne dans votre mise en conformité.
Acteur depuis plus de 20 ans de l’informatique en Normandie, Gaïa répond aux besoins des TPE, PME, associations et collectivités, pour la gestion et protection de leur parc informatique.
Spécialiste de la gestion et la sécurité des parcs informatiques professionnels, nous accompagnons nos clients dans leur démarche de mise en conformité. Cela passe notamment par la mise en place de tableaux de bord de suivi de la conformité, permettant d’évaluer les écarts et les actions à entreprendre pour mieux répondre aux exigences réglementaires encadrant leur activité.
Vous souhaitez en savoir plus ? Contactez dès maintenant un expert Gaïa Informatique.
