La conformité aux réglementations sur la confidentialité des données, comme le Règlement général sur la protection des données (RGPD) de l'Union européenne et la loi californienne sur la confidentialité des consommateurs (CCPA), exige une position de sécurité différente pour une main-d'œuvre à distance. Lis la suite pour connaître les cinq meilleures pratiques éprouvées de Splashtop pour assurer la conformité tout en ayant une main-d'œuvre à distance.
Remote work isn't going away. According to a recent Gartner estimate, 51 percent of knowledge workers will be performing their work remotely at the start of 2022 - and that number is realistically higher now with the recent surge of the omicron variant across the globe.
Le télétravail complique la conformité, comme l'indiquent les conclusions de ce récent article de Security Magazine qui présente les résultats de l'enquête mondiale sur la sécurité informatique 2021 d'Apricorn menée auprès de plus de 400 spécialistes de la sécurité informatique d'Amérique du Nord et d'Europe. L'étude portait sur les pratiques et politiques de sécurité en matière de télétravail au cours des 12 derniers mois. Les résultats résument très bien les risques :
60% des personnes interrogées ont déclaré que les conditions de télétravail induites par le COVID ont créé des problèmes de sécurité des données au sein de leur entreprise.
38% ont déclaré que le contrôle des données a été très difficile à gérer.
Malgré les préoccupations liées au contrôle des données, près de 20% ont admis que leurs appareils de travail ont été utilisés par d'autres membres de leur foyer.
La conformité aux réglementations sur la confidentialité des données dans le cadre du télétravail ne fait pas encore partie des priorités des équipes informatiques. Un article de Healthcare IT News datant de 2021 indique que seulement 2 équipes informatiques sur 10 ont déclaré avoir fourni des outils et des ressources adéquats pour soutenir les employés en télétravail sur le long terme. Ce manque de préparation fait courir aux entreprises le risque d'enfreindre les lois sur la confidentialité des données des consommateurs, en particulier le RGPD et la CCPA.
L'impact de la non-conformité
Lorsqu'il s'avère qu'une entreprise a causé un préjudice potentiel à des consommateurs en ne protégeant pas correctement leurs données à caractère personnel (DCP), l'entreprise risque des amendes substantielles, la perte de clients et des dommages importants à sa marque. La plupart des gens se souviennent certainement d'affaires très médiatisées comme les amendes infligées par l'UE à Amazon et H&M pour non-conformité au RGPD, d'un montant respectif de 746 millions d'euros et 35 millions d'euros. Pourtant, en seulement 3 ans, l'UE a infligé plus de 800 amendes à travers l'Espace économique européen (EEE) et le Royaume-Uni (qui maintient les règles du RGPD, même après le Brexit).
Oui, les petites entreprises reçoivent des amendes. Prenez, par exemple, le fournisseur de soins de santé suédois Capio St. Göran. Sa marque a été atteinte et il a reçu une amende GDPR de 2,9 millions d'euros suite à un audit de l'un de ses hôpitaux. L'audit a montré que l'entreprise n'avait pas effectué d'évaluations des risques appropriées et n'avait pas mis en place de contrôles d'accès efficaces. En conséquence, trop d'employés avaient accès à des données personnelles sensibles.
The same type of enforcement applies to all sizes of organizations under California's CCPA. A September 2021 TechTarget article points out that the State of California recently handed out fines to a car dealership, a grocery store chain, an online dating platform and a pet adoption agency - hardly the titans of modern industry.
En résumé, si vous gérez des équipes à distance, vous devez prendre plusieurs mesures pour adapter votre politique et vos pratiques de sécurité afin de rester en conformité avec les lois sur la confidentialité des données personnelles.
Heureusement, Splashtop a permis à des milliers d'organisations de travailler à distance. Voici les 5 meilleures pratiques éprouvées de Splashtop pour assurer la conformité tout en ayant une main-d'œuvre à distance.
Ce qu'implique la conformité des données dans le cadre du RGPD et de la CCPA
Le RGPD et la CCPA exigent tous deux des entreprises qu'elles préservent la confidentialité et la sécurité des informations personnelles. Les processus de traitement de ces données personnelles dans l'entreprise doivent intégrer des mesures de protection des données (par exemple, la pseudonymisation ou l'anonymisation complète le cas échéant). Les entreprises qui contrôlent les données doivent concevoir leurs systèmes d'information en tenant compte de la vie privée.
Also similar to GDPR, Chapter 55 of the California Consumer Privacy Act of 2018 (CCPA) defines personal information as information that identifies, relates to, describes, is reasonably capable of being associated with, or could reasonably be linked (directly or indirectly) with a particular consumer or household such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver's license number, license plate number, passport number, or other similar identifiers.
Le règlement s'applique aux employés de toute organisation travaillant dans n'importe quel lieu, que ce soit au bureau ou à distance. Il est important de noter que l'endroit où les employés travaillent dans le monde n'a pas d'importance. Les règlements s'appliquent lorsque les consommateurs protégés par les règlements vivent dans la zone UE, au Royaume-Uni et/ou en Californie. (Note que de nombreux autres pays, comme le Brésil, l'Afrique du Sud, la Corée du Sud, le Japon et bien d'autres ont également institué des réglementations similaires de 2019 à 2021).
Meilleure pratique n° 1 : mettez à jour votre politique de cybersécurité pour refléter la réalité du télétravail.
Comme le montrent les données ci-dessus, de nombreux employés ne sont pas familiers avec les questions de sécurité des données et de confidentialité des personnes concernées et n'ont tout simplement pas conscience que leurs actions pourraient conduire à une violation des données exposant les données personnelles que votre entreprise doit protéger.
La meilleure façon d'informer les employés est d'établir et de partager une politique de cybersécurité qui leur indique comment assurer la sécurité des données de ton entreprise. La bonne nouvelle est que ta politique de sécurité informatique peut être un document simple. Il doit expliquer les raisons de son existence et fournir les protocoles de sécurité spécifiques (en termes non techniques) que tous les employés doivent suivre. Il doit également fournir une source de contact (email ou numéro de téléphone) pour les employés qui ont besoin d'une aide supplémentaire pour le comprendre.
Meilleure pratique n° 2 : formez vos employés et assurez-vous que le service informatique leur apporte un soutien.
Les employés sont souvent le maillon faible de la cybersécurité. Organisez régulièrement des formations à la sécurité pour tenir vos employés au courant de la manière dont protéger l'entreprise contre les attaques malveillantes.
Politiques relatives aux comptes et aux mots de passe : Attribuez à tous les utilisateurs leurs propres identifiants et accordez-leur l'accès via des mots de passe forts et une authentification à deux ou plusieurs facteurs.
Contrôle de la sécurité des données : les contrôles de la sécurité des données comprennent l'accès basé sur les rôles selon le principe du moindre privilège, la surveillance des accès, l'examen et l'inventaire des comptes et la journalisation. Cela signifie que tous les utilisateurs ont un niveau minimal d'accès aux données.
Contrôle d'accès : les contrôles d'accès gèrent l'accès électronique aux données et aux systèmes et reposent sur les niveaux d'autorité, les niveaux de « besoin de savoir » et une séparation claire des tâches pour les personnes qui accèdent au système.
Réponse aux incidents de sécurité : les procédures de « réponse aux incidents de sécurité » permettent à une entreprise d'enquêter sur les événements liés aux services et aux actifs informationnels de Splashtop, d'y répondre, de les atténuer et de les notifier.
Meilleure pratique n° 3 : cryptez les données, aussi bien quand elles sont en transit qu'au repos.
Recital 83 of GDPR requires personal data to be protected - both in transit and at rest. You should consider data to be in transit any time someone accesses it, such as when it travels from a website server to a user device. 'Data at rest' refers to data in storage, such as data on a device's hard drive or a USB flash drive.
Les deux éléments clés pour assurer la protection des données lorsque vos employés sont en télétravail sont le cryptage et le contrôle d'accès.
Cryptage : Splashtop crypte toutes les données des utilisateurs en transit et au repos et toutes les sessions des utilisateurs sont établies de manière sécurisée en utilisant TLS. Le contenu auquel on accède au cours de chaque session est toujours crypté au moyen du protocole AES 256 bits.
Contrôle d'accès : Splashtop a mis en place des contrôles d'accès pour gérer l'accès électronique aux données et aux systèmes. Nos contrôles d'accès sont reposent sur les niveaux d'autorité, les niveaux de « besoin de savoir » ainsi qu'une séparation des tâches pour ceux qui accèdent au système.
Splashtop évite délibérément la sur-collecte de données - ce que trop d'entreprises font sans raison légitime de service commercial. Nous nous alignons plus facilement sur les réglementations en ne collectant PAS de données/informations sensibles. Nous ne collectons, stockons et traitons que des IIP limitées, telles que le nom d'utilisateur (email), le mot de passe et les journaux de session (pour que les clients puissent les consulter, dépanner, etc.), et Splashtop ne vend pas les informations des clients conformément aux directives du GDPR et du CCPA.
Meilleure pratique n° 4 : traitez les données spécifiques à la géographie dans leur propre pile.
Si votre entreprise dessert des utilisateurs dans une zone réglementée, le plus sûr est de créer une pile de données/technologies spécifique à chaque zone réglementée. Splashtop s'appuie sur une pile européenne basée en Allemagne. Cela garantit que les transferts de données liés aux résidents de l'UE restent dans la souveraineté de l'UE (une règle stricte du RGPD).
Meilleure pratique n° 5 : utilisez un accès à distance sécurisé
Les personnes qui travaillent à distance utilisent généralement des VPN et le protocole de bureau à distance (RDP) pour accéder aux applications et aux données dont elles ont besoin pour effectuer leur travail. Cela a conduit les cybercriminels à exploiter les faiblesses de la sécurité des mots de passe et les vulnérabilités des VPN pour accéder au réseau des entreprises et voler des informations et des données.
La solution d'accès à distance de Splashtop ne repose pas sur un VPN. De plus, elle suit une approche de confiance zéro. Lorsque les employés accèdent à distance à leur ordinateur ou poste de travail au bureau, ils entrent par une connexion Splashtop spéciale. Une connexion qui ne fait pas partie du réseau de l'entreprise. Cela signifie qu'ils ne peuvent voir et travailler avec les données (c'est-à-dire les documents Word) que sur leur bureau à distance, et que les données ne sortent jamais du réseau de l'entreprise. Les responsables de la sécurité informatique ont également le choix avec Splashtop d'activer ou de désactiver les fonctions de transfert de fichiers et d'impression. Ces choix sont fortement recommandés pour la conformité, mais n'existent pas avec une stratégie RDP/VPN.
L'accès à distance Splashtop introduit encore plus de fonctionnalités de sécurité, telles que l'authentification des appareils, l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et bien plus encore. Ces mesures de sécurité modernes n'existent pas dans l'architecture VPN.
Il est plus facile de prévenir que de guérir
Comme le montrent ces meilleures pratiques, tu peux prendre cinq mesures de bon sens pour t'aligner sur les réglementations sur la confidentialité des données sans faire d'efforts massifs. Le travail à distance étant là pour rester, les avantages de la protection des données des consommateurs dans ton environnement de travail à distance l'emportent largement sur les effets négatifs d'être jugé " non conforme ".
Pour savoir comment votre entreprise peut rapidement mettre en place un accès à distance sûr et sécurisé – en conformité avec la CCPA, le RGPD et d'autres réglementations sur la confidentialité des données des consommateurs – consultez notre page Conformité.
Conformité de Splashtop aux normes de sécurité
