Ces dernières années, malgré l’entrée en vigueur du RGPD (le 25 mai 2018, pour rappel), des infractions à la réglementation de la part de grandes plateformes du numérique ou d’entreprises plus locales sont régulièrement pointées du doigt par les autorités de contrôles européennes.
Sensibilisés par ces affaires dont la portée est souvent médiatique, les internautes ont pris conscience de l’utilisation incontrôlée de leurs données ; mieux informés, ils sont plus exigeants envers les marques, ce qui a provoqué une augmentation du nombre de plaintes auprès des instances de contrôle et une baisse de la confiance numérique.
Paradoxalement, ces internautes (nous tous, en réalité !) utilisent davantage Internet depuis la pandémie… À cette hyper connectivité s’ajoute l’émergence d’usages « grands publics » et privés de l’IA : on assiste donc à une augmentation exponentielle du volume de données !
…Et, en parallèle, à une croissance des risques et des attaques cyber, qu’il s’agisse de négligence humaine ou de violations caractérisées de données. Avec des conséquences parfois dramatiques, pour les entreprises visées.
Pour les marques, adopter de bonnes pratiques pour restaurer la confiance de leurs clients en matière de sécurité et de protection des données comporte donc un double enjeu :
- Affermir leur image (ou la restaurer…)
- Renforcer leur cybersécurité
Alors, justement, quelles sont-elles, ces bonnes pratiques permettant de restaurer la confiance numérique ?
#1 Former, sensibiliser, responsabiliser les collaborateurs
On le sait : l’erreur humaine est à l’origine d’un grand nombre de pertes ou de fuites d’informations. Pourtant, au lieu de voir le verre à moitié vide, on peut le voir à moitié plein : vos collaborateurs sont aussi votre première ligne de défense.
En effet, s’ils sont conscients des risques et s’ils connaissent les bonnes pratiques à appliquer en matière de sécurité, ils sont en mesure de reconnaître les signaux d’alerte et de réagir rapidement, de manière appropriée, en cas de menace potentielle.
Les former et les sensibiliser à la cybersécurité peut les aider à comprendre les enjeux et les conséquences réelles des attaques. Cela les incite à être vigilant tout au long de la mise en œuvre de leurs tâches quotidiennes, particulièrement lorsqu’ils sont en télétravail.
Cela crée, par ailleurs, un sentiment de responsabilité collective : la cybersécurité n’est plus un sujet abstrait, dans les seules mains des responsables de la sécurité informatique de l’entreprise.
#2 Collecter de manière éthique les données, communiquer de manière transparente en direction des clients et prospects
Respecter la réglementation en matière de RGPD permet de construire la confiance avec vos clients et avec vos partenaires. D’autant qu’un non-respect peut entraîner des conséquences juridiques et financières importantes (les sanctions peuvent atteindre 10 M € ou 2 % du CA annuel mondial).
L’un des principes clés du RGPD est d’adopter une approche éthique concernant la collecte et le traitement des données, en veillant à obtenir le consentement préalable, explicite et éclairé des utilisateurs.
Cela signifie que ceux-ci doivent consentir au recueil de leurs données de manière active et positive (donc cocher une case pour accepter plutôt que pour refuser, par exemple) en étant correctement informé par une communication claire et transparente quant à la finalité. Dans ce cadre, toutes les formulations ambiguës, les designs trompeurs sont à éviter… voire à proscrire, même s’il s’agit d’une recommandation de la CNIL plutôt que d’une obligation.
Respecter le RGPD, c’est aussi redemander le consentement des utilisateurs pour chaque finalité de traitement et leur permettre de se désengager aussi simplement qu’ils se sont engagés.
Enfin, le RGPD requiert d’adopter toutes les mesures organisationnelles et techniques nécessaires pour garantir la protection de la vie privée et la sécurité des données.
Se conformer au RGPD, c’est donc prendre conscience des risques engendrés par le traitement des données personnelles qu’on nous confie, c’est respecter la vie privée… et c’est aussi un élément-clé de différentiation.
En savoir + : Télécharger la check-list RGPD
#3 Sécuriser les systèmes d’information, protéger les données dès le départ
Les risques concernant les données sont de trois natures différentes :
- Atteinte à la confidentialité des données (accès non autorisés)
- Atteinte à leur intégrité (modifications non souhaitées)
- Atteinte à leur disponibilité (disparition de données)
Il faut savoir que même si les attaquants sont des experts, ils ciblent souvent les vulnérabilités les plus simples à exploiter. Par conséquent, l’application de mesures de base en matière de sécurité peut déjà réduire considérablement les risques.
L’ANSSI et la CPME proposent 12 règles essentielles pour sécuriser les systèmes d’information. Il s’agit de mesures telles que veiller à mettre à jour les systèmes et logiciels avec les derniers correctifs de sécurité, utiliser des mots de passe forts et les changer régulièrement, installer des antivirus et des pare-feu…
Mettre en place des mesures « d’hygiène informatique » s’avère donc nécessaire pour limiter les risques. Ces mesures doivent être proportionnées aux risques engendrés par les données traitées : par exemple, des données de santé ou encore des données bancaires nécessitent des mesures de sécurité plus drastiques que des données liées à des comportements d’achat.
Par ailleurs, la sécurité des données et des systèmes d’information est un processus continu. Surveiller activement les activités suspectes pour réagir rapidement en cas d’incident est incontournable. Cela nécessite la mise en place d’outils de détection d’intrusions et la mise en œuvre de mécanismes de réponses aux incidents pour neutraliser les menaces avant qu’elles ne causent des dommages.
Un plan de sauvegarde régulier des données de l’entreprise est aussi nécessaire pour anticiper d’éventuelles atteintes à leur intégrité ou à leur disponibilité.
En savoir + : Cybersécurité et PME : Faire d’une nécessité, une opportunité !
#4 Mettre en œuvre l’IA Générative de manière responsable et sécurisée
Si l’Intelligence Artificielle Générative offre des possibilités (presque) illimitée, elle peut aussi être source d’inquiétudes concernant la sécurité et la confidentialité des données. Car la donnée est omniprésente dans les systèmes d’IAG.
Intégrer l’IAG de manière responsable est essentiel pour s’assurer que l’utilisation des données soit éthique et sécurisée. Cela signifie notamment :
- S’assurer que les données utilisées pour former les modèles d’IA sont collectées de manière éthique et conforme au respect de la vie privée des individus.
- Identifier les risques associés à l’utilisation de l’IA (attaques par inférence notamment) dans votre entreprise et mettre en œuvre les mesures pour les atténuer ou les éliminer.
- S’assurer que les décisions prises par les systèmes d’IA sont transparentes et compréhensibles par les utilisateurs, documenter les processus de modélisation.
- Réduire les risques de biais et de discrimination en veillant à ce que les algorithmes soient équitables (pour que l’IA ne reproduise pas les biais et préjugés présents dans les données).
Ici aussi, la réglementation (l’IA Act) est en voie d’apporter un cadre juridique permettant un développement des usages de l’IA garantissant la sécurité, les droits fondamentaux des personnes et les principes éthiques.
En savoir + : Mettre en œuvre l’IA Générative : l’importance de « se hâter lentement » !
Ensemble, vers un avenir numérique sécurisé
On le voit donc, restaurer la confiance en matière de sécurité et de protection des données est une responsabilité collective.
En appliquant ces quatre bonnes pratiques, nous pouvons non seulement renforcer la sécurité des données que nous collectons et traitons, mais nous encourageons un dialogue ouvert et positif sur la façon de construire un avenir numérique plus sûr et plus éthique.
Vous souhaitez réagir ou en savoir plus ?
Nous restons à votre disposition pour échanger avec vous autour d’un café.