Plus de la moitié de la période accordée aux entreprises pour mettre en œuvre le nouveau Règlement Général sur la Protection des Données (RGPD) s’est écoulée. Pourtant, de nombreux dirigeants à travers le monde n’ont toujours pas conscience que la nouvelle loi les concerne.En effet, seulement 39% d’entreprises se disent concernées au Royaume-Uni et 25% aux Etats-Unis. (NTT Global Report Risk-Value 2017)
Contrairement à ce que certains pensent, toutes les organisations qui manipulent les données de citoyens européens devront se conformer au RGPD d’ici le 25 mai 2018. A partir de cette date, les entreprises devront être en mesure de justifier la possession de chaque donnée qu’elles détiennent, s’exposant à des contraventions massives en cas de non-conformité.
Avec la généralisation et l’utilisation grandissante d’applications mobiles, de terminaux BYOD, etc. choisir les bonnes solutions de sécurité mobile peut s’avérer décisif dans la course vers la conformité.
Voici les différents principes du GDPR et comment s’y conformer par l’usage de la sécurité mobile.
Protection des données dès la conception
D’une part il est attendu des entreprises qu’elles incluent au processus de développement la protection des données des utilisateurs. D’autre part, elles doivent mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir que seules les données nécessaires soient collectées, traitées et conservées.
Dans un contexte de gestion de flotte mobile, une solution EMM / MDM permettra d’établir une frontière entre les données personnelles et professionnelles sur les terminaux et d’empêcher l’entreprise d’accéder au contenu des applications et boîtes e-mail personnelles.
Dans le cadre du développement d’applications, inclure la sécurité et la confidentialité dès les premières phases de développement s’impose comme une « best practice ». Utiliser une solution d’audit de sécurité des applications permettra aux développeurs d'auditer les niveaux de sécurité de leurs applications tout au long du processus de développement.
Sécurité adaptée au risque
Le RGPD demande aux entreprises de déployer des mesures de protection calibrées en fonction du risque encouru et de la sensibilité des données à protéger. Les organisations devront mettre en place des procédures visant à tester, analyser et évaluer régulièrement leurs pratiques en matière de sécurité, afin d’assurer la confidentialité et l’intégrité du traitement des données.
Utiliser une solution EMM / MDM qui crypte les données des terminaux est une première étape pour protéger les données et justifier la mise en place de pratiques de sécurité auprès des autorités. Cependant pour une protection complète, il est nécessaire d’y ajouter une solution de sécurité qui analysera automatiquement l’intégrité des terminaux et les comportements des applications.
Concernant les applications, un SDK d’autodéfense intégré les protégera contre les menaces provenant d’autres applications et contre les connexions à risque.
Rapport interne recensant les incidents
Lors d’une constatation de fuite de données, l’entreprise doit notifier l’autorité de contrôle compétente dans les 72h. Si cette fuite entraîne un risque élevé pour certains utilisateurs, elle a pour devoir de les prévenir également. Il est aussi demandé aux organisations de garder un rapport interne des fuites et incidents qui pourraient compromettre des informations personnelles, ainsi que les étapes de remédiation engagées et les résultats obtenus.
Les entreprises peuvent assurer la traçabilité des données en utilisant des outils de surveillance. Les solutions EMM/MDM et de protection de flotte mobile génèrent des logs qui permettent de déterminer les évènements et actions précédant et suivant une faille de sécurité.
En ce qui concerne les applications mobiles, les solutions d’autoprotection des applications procurent également des données à analyser et investiguer en cas de perte ou vol de données.
Le 25 mai 2018 peut sembler loin, mais c’est dans seulement 9 mois. Etes-vous prêts ?
Découvrez les solutions de protection de flotte mobile, d'audit de sécurité et d'autodéfense des applications de Pradeo.