Grandes entreprises et pertes de données
Grandes entreprises et PME sont confrontées à des problématiques différentes en matière de pertes de données. Soumises aux mêmes obligations légales du RGPD, les grandes entreprises doivent faire face à des risques accrus et engagent donc davantage leur responsabilité légale en cas de perte.
Les grandes entreprises davantage exposées aux pertes de données
Les GE (Grandes Entreprises), ETI (Entreprises de Taille Intermédiaire) et entreprises multi-sites sont davantage soumises aux pertes de données que les PME. Il va en effet de soi que les probabilités de pertes augmentent naturellement avec la taille, la diversité des réseaux informatiques et la nature de la structure. A titre d’exemple, une entreprise disposant de sites distincts pour l’administration, la production ou la commercialisation verra les risques liés aux dégâts d’origine naturelle augmenter en raison d’une disparité géographique.
La nature des scénarios qui touchent GE et ETI est en outre plus diversifiée. De manière générale, les PME sont soumises aux mêmes risques que les utilisateurs personnels, notamment en termes de malveillance informatique. Tandis que les PME sont l’objet d’attaques non ciblées, les rapports annuels du Clusif montrent que les actes de cybercriminalité ciblée (cryptoware, ransomware…) touchent exclusivement les grandes entreprises.
Perte de données : le risque zéro n’existe pas
GE et ETI ont davantage de moyens pour établir une prise en compte des risques et déployer les mesures de préventions nécessaires : stockage des données sur systèmes RAID, serveurs sécurisés ou en data center ; chartes des bonnes pratiques et formation des salariés ; stratégies de disponibilité continue ; etc.
Néanmoins, les meilleures infrastructures et les bonnes pratiques les plus exigeantes ne peuvent pas complétement réduire les facteurs de pertes de données. Face aux dégâts d’origine naturelle, risques d’incendie, défaillances matérielles inattendues, actes de malveillance interne, … le risque zéro n’existe pas.
RGPD et responsabilités légales des dirigeants d’entreprise
La responsabilité pénale ou civile des gérants, P-DG et Directeurs Généraux peut être directement engagée en cas de perte de données. Leur implication s’étend bien au-delà des obligations légales de conserver certaines données durant plusieurs années (5 ans pour les bulletins de salaire, 10 ans pour les factures, etc.).
Le RGPD (Règlement Général sur la Protection des Données, ou Règlement n°2016/679), avec une entrée en vigueur le 25 mai 2018, renforce la protection des données personnelles relatives aux résidents de l’Union Européenne. En vertu de ce règlement, toute entreprise est légalement responsable des données à caractère personnel qu’elle stocke, traite ou utilise. Tout dirigeant d’entreprise peut ainsi être amené à répondre de leur perte, de leur destruction ou de leur altération.
Afin de se conformer au RGPD, les entreprises doivent donc déployer toutes les mesures de sécurité nécessaires pour en garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité. En outre, en cas de faille de sécurité ou d’incident, elles doivent prendre les mesures nécessaires pour rétablir la disponibilité et l’accès aux données personnelles dans les meilleurs délais.
30 janvier 2018