Le danger de l’utilisation de systèmes d’exploitation obsolètes
Les entreprises comprennent l’enjeu véritable que cela implique dorénavant, de mettre tout en œuvre pour assurer la sécurité des données personnelles de leur utilisateur.
Au regard des grosses amendes qui sont récemment infligées aux entreprises par l’autorité britannique en charge de la protection des données personnelles pour leurs manquements au regard des règles applicables à leurs gestion, l’avertissement est de taille.
La norme européenne en vigueur depuis quelques années maintenant, le règlement général de la protection des données, exige que les entreprises prennent toutes les mesures nécessaires, qu’elles soient organisationnelles, technologique ou professionnelles, pour garantir que les données à caractère personnel qui sont sous leur gestion, en clair sous leurs responsabilités, ne soient pas atteinte ou altéré d’une quelconque manière. En vertu de quoi une sanction leurs sera infligée. Tout ceci s’applique en fonction du risque, du coup et de la portée du traitement et des les réalités sectorielles.
Cet article va aussi vous intéresser : Environ 40 % des vulnérabilités détectées risque d’être divulguées
En clair tout est une question d’appréhension lorsqu’on parle des exigences de regard du règlement général de la protection des données. Ce qui veut dire que l’obligation qui perd as une grande entreprise on ne sera pas la même que sur une PME en matière de cybersécurité de protection des données.
Pour aider les entreprises dans cette obligation qui leur incombent, les autorités en charge de la protection des données dans chaque pays on se voit tendance à publier de manière régulière des documents qui expliquent comment procéder pour assurer le minimum de sécurité informatique. Il n’est pas rare que certaines mesures basiques soient formulées telle que :
– L’utilisation de solutions antivirus
– La mise à jour systématique des système d’exploitation et des logiciels
– La réalisation de backup ou sauvegarde pour récupérer plus facilement des logiciels et données
– Utiliser le protocole HTTPS pour faire fonctionner ce site web
– Utiliser des firewalls pour les matériels ou encore les logiciels
– Développer un système de sécurité physique à travers la détermination et limitation des accès aux terminaux par moyen d’authentification physique tel que les badges, ou mesure biométrique
– Mettre en place des systèmes d’accès par identifiant unique par utilisateur et par système d’authentification
– Mettre en place un système de chiffrement de données
– Utiliser le système d’anonymisation et de pseudonymisation
Face aux manquements des entreprises, les autorités de protection des données procède à des méthodes des sanctions. Généralement ce sont des sanctions. On se rappelle quand 2020, plusieurs entreprises ont été sanctionné par exemple, la compagnie aérienne british Airlines, contrainte de payer prêt de 20 millions en guise d’amende. « Les manquements au RGPD peuvent faire l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Le 16 octobre 2020, l’ICO a d’ailleurs infligé une amende record de 20 millions de livres à une autre compagnie aérienne, British Airways, pour violation de données et manquements au principe de sécurité du RGPD.
Les décisions de l’Autorité britannique de protection des données sont un avertissement sérieux pour maintenir les systèmes informatiques à jour et assurer la sécurité, la disponibilité, l’authenticité, l’intégrité et la confidentialité de données à caractère personnel. » commente Guillaume Rue, avocat associé à Cairn Legal. « Ainsi en 2020, suite à des violations de données, l’ICO (l’APD du Royaume-Uni) a infligé des amendes de ½ million de livres à deux grandes entreprises. Dans ces deux décisions, l’ICO a listé les nombreux manquements commis en matière de sécurité et, parmi celles-ci, le fait que leur système informatique était hébergé sur un système d’exploitation obsolète et vulnérable, qui n’était plus supporté par le fournisseur. Cela signifie que ce système d’exploitation était privé de tout support technique pour pallier les problèmes, des mises à jour logicielles et surtout des mises à jour ou correctifs de sécurité. »
Même si rien ne prouve matériellement que l’obsolescence du système d’exploitation est la cause d’un quelconque incident informatique portant atteinte aux données personnelles, l’organisme de protection des données britanniques a déduit que fonctionner de la sorte est littéralement un manquement au règlement général des données personnelles. En effet, un système d’exploitation obsolète et une porte ouverte aux attaques informatiques. Et cela est clair et net pour toute personne dans le secteur informatique.
Accédez maintenant à un nombre illimité de mot de passe :