Le nouveau règlement européen sur la protection des données (RGPD) va imposer de nouvelles règles aux entreprises dès 2018. Comment se protéger des piratages, comment mettre en place de bonnes pratiques en matière de sécurité et que risquent les entreprises en cas de compromission des données ? TourMaG.com fait le point avec Gabriel Leperlier, Senior Manager chez Verizon Enterprise Solutions.
Les règles en matière de protection des données clients vont changer. Et les entreprises, y compris dans le tourisme, doivent s’y préparer.
Les lois dans tous les états membres de l’Union Européenne sont actuellement basées sur la Directive de 1995 sur la Protection des Données.
Cette directive va être remplacée par le Règlement général sur la protection des données (RGPD) le 25 mai 2018, qui va imposer aux entreprises d’une part la protection des données à caractère personnels de leurs clients et de leurs employés et d’autre part l’obligation de se rendre compte et d’alerter les autorités en cas de vols de ces données.
Un texte qui ne doit pas être pris à la légère.
Les infractions au RGPD peuvent être punies par de fortes amendes, pouvant aller jusqu’à 4% du chiffre d’affaires ou jusqu’à 20 M€, la valeur la plus élevée étant retenue.
« En cas de problème les entreprises devront démontrer que la sécurité est implémentée dans la conception même des services « , explique Gabriel Leperlier, Senior Manager chez Verizon Enterprise Solutions
Mettre en place de bonnes pratiques
Pour éviter ce genre de mésaventure, les entreprises doivent sécuriser leurs bases de données.
Mais par où commencer ?
Pour Gabriel Leperlier, il faut mettre en place de bonnes pratiques : « Pour sécuriser les données personnelles mais également les données bancaires, il faut commencer par savoir où sont stockées ces données et répertorier les cas d’usage en retraçant le parcours client. »
« Les demandes se font-elles par email, par téléphone, par courrier ou physiquement à l’agence ? », « Comment sont transmises, traitées et stockées ces données ? » sont les premières questions à se poser.
« Par exemple stocker des données bancaires sur des fichiers Excel non chiffrés est une pratique totalement à proscrire, et c’est peut-être à cette étape, que l’on va s’en rendre compte » explique le Senior Manager de Verizon Enterprise Solutions.
Un fois cet inventaire réalisé, il faut s’interroger sur leur stockage : est-il strictement nécessaire de conserver ces données, et si oui combien de temps ?
« Les entreprises ont parfois besoin d’information, mais elles n’ont pas toujours besoin de la stocker. On se rend compte que les données sont stockées trop longtemps.
Les sociétés ont parfois besoin de certaines informations pendant un an, mais 10 ans après elles sont toujours là, car aucun processus n’a été mis en place pour les supprimer« , précise Gabriel Leperlier.
Certaines données ne peuvent tout simplement pas être stockées comme le code de sécurité située au dos des cartes bancaires, ou encore la piste complète d’une carte de paiement.
3 conseils de base pour protéger ses équipements
Une fois les risques réduits sur les « entrepôts de stockage« , il faut se pencher sur les équipements et outils qui servent à traiter ces données.
Première recommandation : « patcher » ses ordinateurs, tablettes, serveurs, c’est à dire mettre à jour les systèmes d’exploitation et les logiciels utilisés afin d’éviter les failles de sécurité.
Deuxième conseil : installer une suite anti-virus capable de détecter les logiciels malveillants (malware), espions (keylogger) ou les logiciels de rançon (ransomware) susceptible de prendre en otage vos bases de données.
Troisième suggestion : réaliser le « durcissement » des équipements. Il s’agit d’éliminer des ordinateurs tous les logiciels qui ne sont pas strictement réservés au travail.
« Sur Windows, certains logiciels ou serveurs sont installés par défaut. Si ces softwares ne sont pas mis à jour, l’attaquant c’est à dire le pirate va pouvoir se servir de ces failles pour prendre possession de votre PC.
Il faut donc être particulièrement vigilant sur les équipements qui utilisent par exemple les GDS, logiciels dans lesquels, les agents de voyages rentrent les données clients » explique Gabriel Leperlier.
Le piratage, une menace à ne pas prendre à la légère
La menace est réelle. « Il faut se rendre compte que le piratage de données est une véritable industrie, gérée par des groupes organisés mafieux. Ces personnes travaillent chaque jour comme vous et moi, ils ont des réunions, et chacun a sa spécialité. Leur but est simple récupérer des données et les vendre », ajoute Gabriel Leperlier. « Le pire serait de ne rien faire car les bonnes pratiques sont peu couteuses à mettre en place, et réduisent déjà le risque de 90%. »
Une des techniques les plus connus de piratage est le « phishing ». Il s’agit d’un email qui renvoie vers des liens suspects ou comprenant une pièce jointe qui va installer un logiciel malveillant. Il faut donc rester méfiant envers des emails mal rédigés en français ou qui proviennent d’expéditeurs suspects.
Il ne faut pas oublier non plus que dans le cadre de vols de données, et au-delà des amendes, les frais peuvent grimper très vite pour une entreprise. « Les clients lésés font des procès cela engendre des frais d’avocat, des frais de remise en service et de remise à niveau des infrastructures informatiques, sans compter sur la mauvaise image provoquée par ce type de mésaventure pour l’entreprise. Le coût peut aller du simple au quadruple » assure le représentant de Verizon Enterprise Solutions.
La chaîne de supermarchés TESCO propriétaires de TESCO Bank qui a une subi une violation de ses données a fait ses comptes. Si les nouvelles règles du RGPD avaient été vigueur, TESCO aurait pu se voir infliger une amende de 1,9 milliards de livres, sans compter sur les effets collatéraux : recours collectifs en justice et impact négatif sur l’image du groupe.
Ce nouveau Règlement pourrait également inciter les entreprises à mettre en place le standard PCI DSS, qui est la norme de sécurité de l’industrie des cartes de paiement pour la protection des données bancaires.
Un standard également imposé par IATA dans sa résolution 890, dont les agences de voyages ignorent parfois l’existence…
Source : www.tourmag.com, Rédigé par Céline Eymery le 22/11/2016