[Infographie] Quel bilan depuis l’entrée en vigueur du RGPD

Cela fait maintenant plusieurs mois que le nouveau règlement relatif à la protection des données (RGPD) est en vigueur. La CNIL, Commission nationale de l’informatique et des libertés, en a profité pour dresser un premier bilan chiffré. Le piratage correspond à 65% des notifications déposées auprès de la CNIL car il représente la première source de violation de données.

Etes-vous concernés par le piratage ? Quelles sont les solutions de prévention ? La réponse ci-dessous.

742 notifications de violations en seulement 4 mois

Le règlement général sur la protection des données est très clair, il demande au Délégué à la Protection des Données (DPO), de tenir un registre interne des violations de données personnelles et d’en notifier la CNIL. Les entreprises ont donc pour obligation de déceler au mieux les violations de données personnelles et de les notifier à la CNIL dans un délai maximal de 72 heures.

Avec ce nouveau processus, pas moins de 742 notifications pour violations de données concernant plus de 33,7 millions de personnes localisées en France ou ailleurs, ont été enregistrées entre le 25 mai 2018 et le 1^er octobre 2018.

Ces chiffres prouvent une profonde volonté de bien faire de la part des entreprises et organisations. Malheureusement, pour la plupart, elles se retrouvent désarmées face à ce nouvel environnement juridique ne sachant pas vers qui se tourner ni quoi faire.

Pour vous aider découvrez nos 6 étapes pour organiser votre démarche de mise en conformité RGPD.

3 typologies de notifications

La CNIL a recensé 3 typologies de notifications de la part des entreprises :

• 695 notifications liées à la confidentialité des données. C’est-à-dire que les données personnelles traitées sont accessibles par tous ou par des personnes non légitimes.
• 71 notifications liées à la disponibilité des données. C’est-à-dire que les données personnelles traitées ne sont plus accessibles.
• 50 notifications liées à l’intégrité des données. C’est-à-dire que les données personnelles traitées ont été modifiés.

695 notifications liées à la confidentialité des données, cela prouve que les entreprises et organisations ont encore beaucoup à faire en matière de protection et de sécurité des données qu’elles traitent.

Le piratage, la première source de violation de données

Comme expliqué précédemment, la protection et la sécurité des données sont au cœur de la guerre entre entreprises et pirates informatiques.

Le piratage couvre 65% des notifications, ce qui en fait la source principale de violation de données personnelles à ce jour. Ainsi, la CNIL dénombre 421 incidents liés à l’utilisation de logiciels malveillants ou de techniques d’hameçonnage.

Pour les hackers informatiques, les formulaires sur les sites internet correspondent par exemple aux premiers éléments ciblés pour le piratage de données. Ils regroupent des failles de sécurité à la fois répandues mais aussi potentiellement très dangereuses pour les bases de données.

Comment réagir en cas de faille de sécurité ?

Vous l’aurez compris, toute entreprise doit impérativement assurer la protection des données qu’elle traite.

2 cas de figure pour les entreprises

Dans le cas d’une faille de sécurité inexploitée, l’entreprise ou l’organisme doit tout mettre en œuvre pour la corriger dès sa découverte. Elle peut le faire en interne si elle dispose des compétences nécessaires, ou bien faire appel à des professionnels en cybersécurité.

Dans le cas d’une faille de sécurité exploitée entraînant la violation de données personnelles, l’entreprise ou l’organisme dispose d’un délai de 72 heures à compter de la découverte pour le notifier à la CNIL. Au-delà de ce délai, la CNIL peut condamner à une amende maximale de 10 millions d’euros ou 2% du chiffre d’affaires mondial.

A l’inverse si la notification est effective dans ce délai, la CNIL entre dans une démarche d’orientation du professionnel qui a pour but de l’aider à prendre des mesures qui limitent au mieux les conséquences de la violation.

La faille de sécurité doit, comme pour l’autre cas de figure, être corrigée au plus vite soit en interne, soit par un prestataire qualifié.

Pour aller plus loin, RGPD : Les nouvelles obligations pour les entreprises

Quelles sont les solutions de prévention ?

Le Cesin (Club des experts de la sécurité de l’information et du numérique), qui regroupe les responsables de la sécurité informatique de plus de 280 sociétés tricolores, a estimé que les entreprises Françaises auraient subi en moyenne 29 cyberattaques sur l’année 2016.

Les chiffres de la cybercriminalité sont en hausse avec de plus en plus d’objets connectés et des méthodes qui évoluent constamment. Aucune entreprise n’est à l’abri d’une attaque informatique.

Pour prévenir la majeure partie de ces incidents, la CNIL rappelle notamment 3 grands principes :

• Réfléchir et établir la sécurité en amont d’un projet
• Maintenir à jour la sécurité des différents supports et infrastructures de l’environnement digital.
• Sensibiliser régulièrement le personnel aux risques et enjeux de la sécurité informatique.

N’attendez pas de vous retrouver dans des situations inconfortables.

Chez Admaker nous pouvons intervenir en prévention d’une cyberattaque. Nos experts en cybersécurité réalisent un audit complet de votre site internet ou de vos outils en ligne en effectuant plus de 4500 tests de vulnérabilités. Cette analyse peut être réalisé à tout moment pour réaliser un diagnostic et ou afin de tester le travail de développeurs suite à la mise en ligne d’un nouveau site Internet ou application.

Cet état des lieux vous permet d’avoir de la visibilité sur les failles de sécurité auxquelles vous faites face pour ensuite déterminer un plan d’action concret pour vous protéger. Notre équipe technique reste par ailleurs à votre disposition pour les corriger au plus vite et éviter toute violation de données.

Plus d’information sur cette page dédiée à notre intervention en développement sur mesure. Contactez-nous sans attendre pour garantir la sécurité de votre site !