L'augmentation de l'utilisation d'appareils mobiles d'entreprise, alimentée par BYOD (Bring Your Own Device) et les avancées technologiques, signifie qu'il existe de nombreuses autres manières de perdre des données, que ce soit par le biais d'erreurs commises par des employés ou par le vol et la vente d'informations confidentielles confidentielles.

En conséquence, la GRC (Governance, Risk and Compliance) est l’un des plus gros problèmes auxquels les entreprises sont actuellement confrontées. Malheureusement, l'entreprise moyenne ne s'en est pas rendu compte et rester du bon côté de la loi peut être un réel problème..

En vertu de la loi de 1998 sur la protection des données, lorsqu'une entreprise perd des données à caractère personnel, le Bureau du Commissaire à l'information (ICO) a le pouvoir de lui infliger une amende pouvant aller jusqu'à 500 000 £ et même, dans des cas extrêmes, d'envoyer des individus en prison..

En outre, la loi prévoit des infractions pénales - 654 poursuites ont été engagées au cours des six dernières années par le seul parquet. Ce qui en fait un problème encore plus important est que les données personnelles ont une définition large - à savoir toute information pouvant être utilisée pour identifier une personne..

Pour de nombreuses entreprises, leurs stratégies et approches actuelles en matière de périphériques, telles que BYOD ou COPE, ne sont plus en mesure de gérer le paysage de conformité actuel..

Une politique et une procédure appropriées doivent comprendre plus que simplement indiquer au personnel comment accéder aux courriels sur leurs appareils personnels, car cela ne protégera pas les données qui y sont stockées. Les entreprises doivent adopter une approche holistique en trois étapes pour garantir la sécurité des données: éducation, politique et technologie..

Mais en quoi consiste chacune de ces étapes et comment les entreprises peuvent-elles les implémenter sans que leur utilisation en soit affectée??

1. Mettre en place une politique

Les entreprises ont besoin d’une politique claire en matière de données et d’appareils, communiquée à leur personnel et mise en œuvre. Dans ce cadre, il faut également clarifier la manière dont les données sont classées et des protocoles de classification de données distincts..

Celles-ci ne doivent pas être écrites dans un langage trop juridique ou technique, mais plutôt sur un ton compréhensible par tous les employés. De cette façon, l'entreprise et les employés sont parfaitement au courant de ce qu'ils sont autorisés à faire avec leurs appareils. Avoir une bonne politique en place garantit qu'il est clair que les employés ont enfreint cette politique.

2. Former et éduquer les employés

Le facteur humain est souvent le maillon faible de la sécurité des données d’une entreprise. C’est pourquoi il est si important que les employés soient suffisamment formés et éduqués pour éviter les dérapages en matière de sécurité. Il est essentiel de pouvoir démontrer à vos employés l'impact que de mauvaises pratiques de sécurité des données peuvent avoir sur l'ensemble de l'entreprise, afin qu'ils comprennent pourquoi leur assistance est nécessaire..

Cependant, ce n'est pas aussi simple qu'épingler un morceau de papier avec une liste de règles au mur du bureau ou télécharger un programme de formation à partir d'Internet. Les meilleures pratiques en matière de sécurité des données doivent être engageantes, pertinentes et adaptées aux emplois que les utilisateurs effectuent..

3. Utiliser une solution technologique

Malgré la mise en place d’une politique cohérente en matière d’appareils et l’éducation du personnel, il reste un troisième élément essentiel. Les employés vont enfreindre les règles, à la fois accidentellement et délibérément. C'est pourquoi il est si important de disposer d'une solution logicielle technologique sous-jacente capable de protéger l'entreprise en cas de violation des données..

Les entreprises doivent pouvoir suivre, gérer et sécuriser en permanence tous les périphériques utilisés au travail, ainsi que les données qui y sont stockées. Plus important encore, la technologie utilisée permettra également à une entreprise de prouver que les processus de conformité sont correctement appliqués et respectés..

À la lumière des graves problèmes pouvant être causés par des violations de données, telles que la perte de réputation, une amende de la part de l’OIC et même des conséquences pénales potentielles, les entreprises ne peuvent pas prendre la sécurité de leurs données pour acquise. Et avec un tel environnement de conformité assombri, il est maintenant essentiel d'adopter une approche à trois volets pour s'assurer que toutes les bases sont couvertes. Votre politique doit être claire et accessible, la formation BYOD que vous donnez à vos employés doit être pertinente pour eux et pour l'organisation, et un logiciel de protection des données approprié doit être en place..

La mobilité peut avoir d'innombrables avantages pour l'entreprise, mais elle doit être gérée correctement pour contrer les risques et respecter les réglementations. Et si une violation devait se produire, l'employeur peut échapper aux sanctions s'il peut prouver qu'il a fait tout ce qui était en son pouvoir - politique, formation et technologie - pour prévenir la violation..

  • Jonathan Armstrong est conseiller en réglementation des données chez Absolute Software et avocat en technologies chez Cordery.