Qui est responsable dans ce cas ?
L'entreprise est responsable et nous aussi !
Bill Mew est un principal leader d'opinion et un entrepreneur. Il mène également des campagnes pour l'éthique numérique.
Dans son rôle de leader d'opinion, Bill cherche à trouver l'équilibre adéquat entre une « protection sensée », ce qui lui a valu le titre de principal influenceur international pour la confidentialité des donnée, et la « maximisation de la valeur économique et sociale », domaine où il exerce également une grande influence sur les aspects les plus divers, allant de la cybersécurité et la transformation numérique jusqu'au GovTech et aux villes connectées. Il intervient également chaque semaine à la télévision ou à la radio (BBC, RT, etc.) en tant qu'expert dans ces différents domaines. Il est l'expert en technologies qui compte le plus de temps d'antenne au Royaume-Uni.
En tant qu'entrepreneur, Bill est le fondateur et le P.D.G. de CrisisTeam.co.uk. Il a constitué au sein de cette société une équipe élite d'experts en réaction aux incidents, en droit informatique, en gestion de la réputation et en influence sur les réseaux sociaux pour aider ses clients à minimiser l'impact des cyberattaques.
Dans de nombreuses organisations, l'attitude dominante est que la cybersécurité est la responsabilité exclusive du responsable de la sécurité des systèmes d'information (SSI) ou que la confidentialité ne dépend que du département de la conformité. En l'absence d'une responsabilité collective plus étendue couvrant la cybersécurité et la vie privée, nos données ne seront pas sécurisées, et en cas de problème, nous serons tous tenus pour responsables, à la fois collectivement et individuellement.
Dans ces organisations, la direction ne perçoit toujours pas toute l'importance de la sécurité informatique et de la confidentialité des données. Trop souvent, elle pense que ce sont des tâches qui peuvent être déléguées à la DSI ou au DPD (délégué à la protection des données) et oubliées. Lorsque la hiérarchie persiste dans cette attitude, il n'est guère surprenant que ce sentiment se répande à tous les niveaux de l'entreprise, et que personne ne prenne au sérieux ces enjeux pourtant stratégiques.
Lorsque la décision d'acheter des clés USB, des disques SSD ou des dispositifs IoT non chiffrés est uniquement basée sur le prix, sans tenir compte du fait qu'ils soient ou non sécurisés et/ou protégés par un chiffrement matériel, chaque dispositif non chiffré crée une cybervulnérabilité. Toute l'organisation est alors exposée à un risque évident de violation des données.
Lorsque le personnel ne respecte pas les règles de base de la cybersécurité et devient négligent dans son utilisation des mots de passe ou des pièces jointes, il met en danger la sécurité de toute l'organisation. Les cybercriminels ciblent activement les mots de passe faibles ou connus et utilisent des tactiques d'hameçonnage pour compromettre la sécurité de leurs victimes. Une très grande partie des cyberincidents utilisent ces vecteurs d'attaque.
La RGPD stipule que les données personnelles ne peuvent être collectées qu'avec le consentement de l'intéressé pour une utilisation prédéterminée. Lorsque vous collectez ou partagez des données en dehors de ce cadre strict, vous exposez toute l'organisation et le personnel à des amendes et des litiges importants.
L'entreprise est responsable et nous aussi !
Si vous constatez que votre organisation ne chiffre pas les contenus sur ses clés USB, ses disques SSD ou des dispositifs IoT, vous devez absolument le signaler. Si vos collègues ne respectent pas les bases des règles de la protection informatique, vous devez leur faire remarquer et en discuter avec leur management. Si vous voyez un membre du service marketing utiliser les données des clients de manière inappropriée, vous devez aussi le signaler.
Si nous voulons que les attitudes changent, que les gens prennent au sérieux la cybersécurité et la confidentialité des données dans une organisation hiérarchiquement descendante, nous devons faire évoluer les mentalités.
Et ce ne sont pas les motivations pour un tel changement qui manquent ! Il est clairement prouvé que les clients sont heureux de faire des affaires avec des organisations qui, selon eux, traitent leurs données avec rigueur et qu'ils sont plus réticents à travailler avec celles qui ne le font pas. Conserver la confiance des clients et éviter tout incident de cybersécurité susceptible de saper cette confiance doit être une priorité pour chacun de nous.
En outre, de nombreux moyens de dissuasion incitent les organisations à se conformer aux exigences de la protection des données. Pour commencer, le RGPD prévoit une amende maximale de 20 millions d'euros ou de 4 % du chiffre d'affaires annuel global pour CHAQUE incident, (le montant le plus élevé prévalant). Le coût de la réparation d'un incident peut se chiffrer en millions. Et s'il s'agit d'une attaque par rançongiciel, les cybercriminels pourraient exiger une rançon de plusieurs millions d'euros en plus. Vous pourriez également être poursuivi en justice par les propriétaires des données compromises.
Comme si de telles sanctions contre une organisation n'étaient pas suffisantes, il existe maintenant aussi des sanctions à l'encontre des individus eux-mêmes. Aux États-Unis, une récente affaire a créé un précédent lorsque des membres du conseil d'administration et un responsable des SSI ont été individuellement assignés à comparaître en justice en responsabilité dans une affaire de cyberincident. Un rapport du cabinet d'analystes Gartner a prédit que les PDG pourraient bientôt être tenus personnellement responsables des cyberattaques.
En tant que citoyens et en tant que clients, nous voulons que les organisations protègent nos données personnelles, et lorsque nous sommes nous-mêmes responsables des données d'autrui, les normes se doivent d'être tout aussi exigeantes. Nous devrions nous inquiéter - à la fois collectivement et individuellement - du fait que nous pourrions tous être tenus responsables. Mais nous devrions être tout aussi motivés à nous concentrer sur la protection des données, puisqu'elle est juste et nécessaire.
#KingstonIsWithYou
Nous offrons des conseils pour identifier les avantages que les SSD apporteront à votre environnement de stockage spécifique ainsi que pour identifier les modèles les mieux adaptés à votre personnel mobile afin de vous aider à garantir la sécurité, même en déplacement.
Nous offrons des conseils pour identifier les avantages que l'utilisation des clés USB chiffrées apportera à votre organisation et les modèles de clé les mieux adaptés à vos besoins professionnels.