Concept essentiel en matière de sécurité des systèmes d’information, l’intégrité des données constitue un facteur clé pour les organisations publiques et privées, notamment depuis l’entrée en application du RGPD sur le territoire de l’Union européenne. Mais comment cet enjeu s’articule-t-il avec les obligations édictées par la CNIL ? Et quels sont les moyens de garantir une intégrité des données ? Réponses !
Intégrité des données : de quoi s’agit-il ?
Intégrité des données : définition
L’intégrité des données peut se définir à travers deux notions essentielles au RGPD : l’exactitude et la sécurité des données.
- Selon l’article 5 du RGPD, l’entreprise est tenue d’assurer l’exactitude d’une donnée pendant l’entièreté de son cycle de vie, de sa collecte, en passant par son traitement et son transfert jusqu’à sa suppression.
- Relative à l’article 32 du RGPD, le principe de sécurité des données impose aux responsables de traitement de sécuriser le système d’information en fonction de la sensibilité des données : ainsi, plus celles-ci sont sensibles, plus le système de protection doit être performant.
Lire aussi : Mise en conformité RGPD : par où commencer ?
Intégrité des données vs Sécurité des données : quelles différences ?
Selon les normes imposées par la CNIL, la sécurité des données englobe les notions de confidentialité, de disponibilité et d’intégrité. L’intégrité des données correspond donc à une sous-catégorie du principe de sécurité des données.
Pour garantir l’intégrité de leurs données, les entreprises doivent ainsi pouvoir justifier de la récurrence des sauvegardes et des différents niveaux de celles-ci : par exemple, certaines sauvegardes vont être reliées au cloud et d’autres vont se faire on-premise pour limiter les risques.
Intégrité des données : quelles données sont concernées ?
D’un point de vue strictement relatif au RGPD, l’intégrité des données concerne les données à caractère personnel. Pour être conforme, une organisation doit donc justifier de l’exactitude et de la sécurité de ces données-là. Néanmoins, les entreprises qui traitent de données sensibles ont tout intérêt à garantir l’intégrité de leurs données de façon globale.
Pourquoi garantir l’intégrité des données ?
Une entreprise qui ne garantit pas l’intégrité de ses données s’expose à trois risques majeurs :
- Un risque opérationnel : avec la digitalisation quasiment universelle du travail, une entreprise qui subit une violation de données risque l’arrêt temporaire de son activité. En effet, si ses systèmes sont cryptos bloqués, elle n’est plus en mesure de contacter ses clients, de faire de la facturation ou de la paie, etc.
- Un risque juridique : lorsqu’une entreprise subit une violation de données, elle n’est plus considérée comme conforme auprès de la CNIL et peut recevoir des sanctions de la part de celle-ci.
- Un risque financier : si elle n’est plus en mesure de poursuivre ses activités en raison d’une violation de données, l’organisation ne peut satisfaire ses obligations contractuelles et risque de perdre des sources de revenus.
Comment garantir l’intégrité des données ?
En tant que composante de la sécurité des données, l’intégrité de la data repose sur des mesures de protection mises en place à plusieurs niveaux :
- Au niveau physique : il s’agit de protéger l’accès aux données, en cas de vol d’un ordinateur par exemple, via la mise en place de moyens d’authentification.
- Au niveau organisationnel : il est conseillé d’établir une politique de sécurité et des procédures, en amont et en aval d’un incident.
- Au niveau technique : il convient de protéger les données grâce à des solutions technologiques telles que le cryptage ou le chiffrement.
Pour garantir l’intégrité des données et leur sécurité sur les plans physique, organisationnel et technique, il convient de respecter quelques bonnes pratiques.
1. Mettre en place une gouvernance
La première étape pour garantir l’intégrité des données consiste à mettre en place une gouvernance qui s’appuie à la fois sur la cybersécurité et sur la conformité. Interdépendants, ces deux pôles se soutiennent l’un l’autre. Cette gouvernance doit s’inscrire sur une période temporelle précise et réunir des experts des deux pôles.
2. Former et sensibiliser les collaborateurs
Aujourd’hui, encore 90% des compromissions sont le fait d’erreurs humaines. C’est pourquoi, sensibiliser et former les collaborateurs aux bonnes pratiques en termes de sécurité est essentiel pour limiter la fuite et la violation des données. Il s’agit par exemple de faire des piqûres de rappel régulières sur les risques de la non-sécurisation des données ou encore proposer des formations en cybersécurité aux collaborateurs.
Vous souhaitez former vos collaborateurs ? Découvrez les parcours sur mesure de Netsystem
3. Sécuriser le système d’information
C’est le point qui parait peut-être le plus évident, pourtant ce n’est pas toujours le mieux traité par les entreprises. Sécurité des postes de travail, antivirus, VPN, protection Wi Fi…Les organisations doivent être très vigilantes car de nombreux éléments contribuent à protéger leurs données.
Bon à savoir : la violation des données s’explique souvent par des erreurs utilisateurs liées à une mauvaise gestion des mots de passe. C’est pourquoi les organisations ont tout intérêt à prioriser cet aspect.
4. Sécuriser l’écosystème dans sa globalité
Protéger le système d’information de l’entreprise ne suffit pas. Dans le contexte actuel, où les données sont particulièrement accessibles, il faut également s’assurer de la sécurité de tout son écosystème et notamment de celle :
- Des systèmes périphériques de l’entreprise (ou firewall) : souvent oubliés, et donc peu ou pas protégés, ces appareils peuvent s’apparenter à de véritables portes d’entrée pour la violation de données.
- Des prestataires et des fournisseurs : ils ont parfois un accès privilégié au système d’information de l’organisation – c’est le cas des infogéreurs par exemple –, accès qui peut s’avérer dangereux si ces partenaires manquent de sécurité.
5. Faire du service managé
Faire du service managé permet de centraliser la gestion des risques au niveau du système d’information. Cette centralisation s’effectue au moyen d’outils spécifiques tel qu’une solution EDR. Plus précisément, le service managé permet de vérifier les intrusions au niveau des firewalls, vérifie les potentielles vulnérabilités du système ou encore offre la possibilité de gérer les droits d’accès – et ce, de manière constante et simultanée. Grâce à ce type de services, le système d’information est continuellement sondé pour prévenir toute anormalité ou fragilité.
Pour conclure…
Ces 5 étapes sont une début efficace pour garantir l’intégrité des données. Néanmoins, les compétences techniques et organisationnelles qu’elles demandent rendent leur mise en place parfois difficile. Plusieurs opportunités se présentent alors :
- Réaliser un audit : cet état des lieux réalisé par un prestataire externe à l’entreprise permet de poser un diagnostic fiable sur les bonnes pratiques mises en place dans l’entreprise et le chemin restant à parcourir pour assurer l’intégrité des données.
- Faire appel à un RSSI ou à un DPO externalisé : ces professionnels de la sécurité des systèmes d’information et de la protection des données accompagnent les organisations dans la mise en place et le maintien en continu de mesures qui garantissent l’intégrité des données.
Dans les deux cas, c’est bien le soutien mutuel entre cybersécurité et conformité des données qui permet d’en assurer l’intégrité. En effet, sans cybersécurité, une entreprise ne peut pas certifier de l’intégrité de ses données et ne peut donc assurer sa conformité.
Consciente de ces enjeux, la société de conseil en Systèmes d’Information Netsystem propose un accompagnement pour les organisations privées et publiques qui garantit la sécurité et la conformité de leurs données. Réalisation d’audits, assistance au DPO ou prise en charge complète du pôle, Netsystem fait office de partenaire idéal pour garantir la mise en place et le maintien de l’intégrité de vos données. Vous souhaitez en savoir plus ? Contactez-nous !
