Journée Européenne de la Protection des Données : comment protéger ses données en 2023 ?

La donnée numérique est une mine d’or pour les cybercriminels. Comme chaque année des petites, moyennes et grandes entreprises seront victimes de chantages à la suite d’une exfiltration de données. Lorsqu’elles ne sont pas utilisées pour commettre de nouvelles cyberattaques (phishing, spear-phishing, fraude au président), ces données se retrouvent le plus souvent vendues sur le darkweb à l’insu de leurs propriétaires. Pour alerter sur ce phénomène, l’Union Européenne organise chaque année la Journée Européenne de la Protection des Données. Une journée de sensibilisation destinée aux professionnels et particuliers. Explications.

Qu’est-ce que la Journée Européenne de la Protection des Données ?

Année après année, la transformation numérique des entreprises s'accentue. Télétravail, dématérialisation, politique zéro papier, sans le savoir, nos données personnelles sont utilisées quotidiennement pour nous fournir des services usuels. Malheureusement, cette quantité de données est une aubaine pour les cybercriminels. Rien que sur l’année 2022, ce ne serait pas moins de 4100 fuites de données qui ont été publiquement annoncées, comptabilisant un volume de 22 milliards d’enregistrements qui seraient aujourd’hui dans la nature. Un chiffre qui interroge sur le fait de savoir si vos données sont dans la nature ou plutôt combien de fois sont-elles dans la nature.

Pour sensibiliser les professionnels et particuliers à ce fléau, l’union européenne organise le 28 janvier de chaque année la Journée Européenne de la Protection des Données. Relayée par la Commission Européenne, cette journée est à l’initiative du Conseil de l’Europe et existe depuis le 28 janvier 2007. Désormais célébrée dans le monde entier, on la retrouve sous la dénomination “Privacy Day” en dehors de l’Europe. L’objectif de cette journée est de promouvoir la protection des données personnelles des individus au sein de l’Union Européenne. Son but est de sensibiliser les citoyens européens à l’importance de protéger leurs données personnelles afin de préserver leur vie privée. Elle vise également à promouvoir auprès des entreprises le respect des lois et réglementations en vigueur permettant de protéger les données personnelles comme le règlement général sur la protection des données (RGPD).

De nombreux pays adhérents relaient cet événement. En France, c’est l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) qui organise chaque année un événement à l’occasion de cette journée. Ainsi, des conférences et ateliers sont proposés pour sensibiliser à cette thématique. Pour compléter ces actions, le court métrage “Beyond” a été réalisé par le Conseil de l’Europe pour sensibiliser le grand public aux enjeux de la protection des données personnelles et leur offrir des conseils pour mieux se protéger.

En 2023, les données volées restent le ciment des actes de cybercriminalité.

Les campagnes de phishing, de spear-phishing utilisent les données personnelles de victimes pour paraître légitime. Que vous soyez une entreprise ou un particulier, les risques liés à la violation des données sont nombreux et peuvent avoir des conséquences graves :

• Perte de confiance : Une violation de données peut entraîner une perte de confiance de la part des clients, des employés et des partenaires d’une entreprise victime d’une cyberattaque.
• Extorsion d’argent : Les données volées peuvent être utilisées à des fins de fraude, comme c’est le cas dans les scénarios d’usurpation d’identité d’un dirigeant d’entreprise (FOVI) dont l’objectif est de faire effectuer un ordre de virement bancaire  par un employé à son insu.

• Préserver la vie privée de vos clients : En protégeant vos données clients, vous préservez leurs vies privées. Vous réduisez également le risque de fraude et d’hameçonnage. Si les informations personnelles de vos clients tombent entre de mauvaises mains, elles pourraient être utilisées pour usurper des identités. Selon une étude du Crédoc de 2009, ce n’est pas moins de 210 000 Français qui auraient été victimes d’usurpation d’identité.

Il est donc primordial de prendre des mesures de sécurité pour protéger les données de votre entreprise car en tant que dirigeant d’entreprise vous êtes responsable de la sécurité des données de vos clients, salariés et partenaires..

Dirigeants d’entreprises, quels sont votre rôle et obligations dans la protection des données ?

D’après Hugues Foulon, CEO Orange Cyberdefense[1] , Directeur de la stratégie et des activités de cybersécurité du groupe Orange : « Face à des menaces de plus en plus nombreuses et visibles, il est nécessaire que chacun ait conscience des risques associés aux usages numériques ». En effet, 75% des cyberattaques ciblent des entreprises de taille moyenne. La Journée Européenne de la Protection des Données rappelle aux dirigeants d’entreprises qu’ils jouent un rôle central en tant que garant de la mise en place des bonnes pratiques de protection des données. Rappelons qu’en cas de défaut de conformité au règlement général sur la protection des données (RGPD), votre entreprise encourt une sanction pouvant aller jusqu'à 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise au niveau mondial. Dans de rares cas, le dirigeant peut également être poursuivi au pénal avec une peine pouvant aller de deux mois à dix ans d'emprisonnement (article 131-4 du Code pénal) associée ou non à une amende d’un minimum de 3.750 euros.[2] 

En tant que dirigeant, il est difficile d’avoir une pleine connaissance des sujets pouvant affecter votre entreprise. Pour comprendre les enjeux de protection des données, voici 4 conseils à adopter :

• Restez informé de la législation en vigueur : La protection des données au sein d’une organisation est réglementée. Vous devez suivre l’évolution de ces lois afin d’anticiper les éventuels changements pouvant se répercuter sur votre entreprise.
• Maîtrisez le langage de la protection des données : RGPD, anonymisation, chiffrement, autorisation, accès, partage. En tant que dirigeant, vous devez comprendre et maîtriser les termes relatifs à la protection des données. Il est également important de vous former et de former vos collaborateurs à ce champ lexical.
• Recrutez ou envisagez de faire appel à une aide extérieure : La protection des données est un aspect complexe à gérer au sein d’une entreprise. Il est donc primordial de travailler avec un partenaire qualifié pour assurer le respect des réglementations. Pour cela, vous devez définir un responsable du traitement des données au sein de votre organisation. Appelé DPO pour Data Protection Officer, cette personne peut être un employé ou un sous-traitant.
• Augmentez votre niveau de sécurité : De nombreuses solutions existent pour collecter et traiter les données de manière sécurisée. Vous pouvez opter pour un durcissement des droits utilisateurs ne permettant pas d’accéder à l’ensemble des documents de l’entreprise. Des solutions comme le Data Loss Prevention (DLP) permettent de bloquer et d’être alerté lorsqu’un document sensible est sur le point d’être communiqué hors de l’organisation. La sensibilisation des salariés permet également de réduire les risques, profitez du 28 janvier pour organiser des actions de sensibilisation.

Chaque acteur joue un rôle important dans la construction d’une société numérique plus sûre. Pour assurer la confidentialité et la protection des données, les entreprises doivent adopter des comportements responsables et anticiper les menaces.

Vous souhaitez en savoir plus ? Rendez-vous sur notre article : Cybersécurité européenne : comment construire une société numérique plus sûre ?

Quelles sont les bonnes pratiques pour protéger les données sensibles de votre entreprise ?

Après la formation vient l’étape de sécurisation des données de votre entreprise. Pour vous aider, voici cinq exemples d’actions à mettre en place:

• Former vos employés aux bonnes pratiques de sécurité : En augmentant le niveau de vigilance de vos employés, vous réduisez les risques d’une potentielle erreur humaine. Proposer une sensibilisation à la cybersécurité et une formation aux bonnes pratiques d’utilisation des données en entreprise est plus que recommandé. Rappelons que selon le dernier rapport de la société IBM, l’erreur humaine est à l’origine de 23% des fuites de données sur internet.
• Mettre en place une politique de sécurité du système d’information : En utilisant l’outil informatique au sein de votre entreprise, vos collaborateurs doivent suivre des règles et procédures. Cette politique doit être communiquée à l’ensemble des employés et doit être mise à jour régulièrement.
• Mettre à jour les systèmes d’exploitation et logiciels de votre entreprise : Les failles de sécurité permettent aux cybercriminels de s’infiltrer sur le réseau de votre entreprise. Il est important d'effectuer régulièrement les mises à jour afin de corriger les failles de sécurité potentielles et protéger les données de votre entreprise.
• Faire une veille et être alerté lorsque mon adresse email a fuité sur internet : La compromission des accès utilisateurs des employés est l’un des moyens utilisé par les cybercriminels pour accéder à votre système d’information. Des outils comme have I been pwnd ? permettent de recevoir une notification lorsqu’une adresse email apparaît dans une fuite de données.  De ce fait vous serez alerté si votre adresse ou l'une des adresses email de vos employés a été détectée.

Orange Cyberdéfense vous accompagne dans la protection de vos données, découvrez nos solutions de Data Protection.

Comment réagir suite à une violation de vos données ?

Vous pensez être victime d’une intrusion au sein de votre système d’information ? Pour commencer, identifiez la source de la violation afin de savoir si vos données ont été compromises. Changez immédiatement l’ensemble de vos mots de passe pour protéger vos comptes et vos données. Révoquez les accès API et autres jetons de sessions  qui ont accès à votre système d’information. Informez les autorités compétentes[3]  si des données ont été exfiltrées. Gardez à l’esprit que le plus important est de réagir rapidement dans le but d’endiguer la menace.

Il est rare qu’une entreprise seule arrive à gérer un incident de sécurité dans son ensemble, n’hésitez donc pas à faire appel à un prestataire spécialisé dans la réponse à incident (CSIRT).