La protection des données professionnelles des entreprises est plus que jamais au cœur de leurs préoccupations. On estime que le volume de ces informations devrait encore croître de 25 % pour les sociétés dans les deux années à venir. Jusque-là plébiscitée, la solution des antivirus semble de plus en plus en retrait. Est-il encore pertinent pour les entrepreneurs d’utiliser des antivirus, ou d’autres solutions sont-elles viables ?
La fin des antivirus ?
Depuis quelques années, la question de l’efficacité des antivirus se pose de façon toujours plus insistante. Récemment, c’est l’ancien PDG de l’entreprise McAfee, John McAfee, qui a fait part d’un avis tranché en la matière. Il dit ne plus se servir d’antivirus lui-même, et estime que ces logiciels sont à présent totalement obsolètes, car basés sur une technologie ancienne qui n’est plus en phase avec les dernières évolutions. Il avance que les kits utilisés par les hackers sont dix fois plus perfectionnés que les antivirus proposés sur le marché. Ce temps de retard rend ainsi ces logiciels peu efficaces pour protéger les données des entreprises. L’année dernière, Brian Dye, le vice-président de la firme spécialisée Symantec, tenait un discours similaire lors d’une interview pour le Wall Street Journal. L’antivirus est donc considéré par les experts du secteur comme une solution en fin de vie, qui ne parviendrait à détecter et éliminer que 45 % des attaques dues à des logiciels malveillants.
Les logiciels antivirus en entreprise
Les différents programmes luttant contre les attaques sont aujourd’hui encore au centre du système de protection des données mis en place par les entreprises. Les versions professionnelles des logiciels anti-malwares jouissent d’une certaine réputation auprès des sociétés, certainement due au fait qu’ils sont commercialisés par des marques de confiance et simples d’utilisation. Une étude indépendante a démontré que certains logiciels antivirus tirent leur épingle du jeu dans un environnement professionnel. Les plus performants pour les PME sont à l’heure actuelle le service Endpoint Protection de Symantec, le Small Office Security de Kaspersky et l’anti-malware Worry-Free Business Security Services de Trend Micro. Cependant, aucun de ces logiciels n’a éliminé 100 % des menaces proposées. Les entreprises ont donc tout intérêt à diversifier leur offre de protection des données pour plus d’efficacité.
Le recours à un Data Protection Officer
Depuis le 25 mai 2018 le règlement général pour la protection des données personnelles (RGPD) est en vigueur. Conséquence : les ntreprises et les administrations qui utilisent des données à caractère personnel doivent recourir aux services d’un data protection officer (DPO). Il apparaît que les solutions informatiques prêtes à l’emploi ne suffisent plus pour protéger les données des entrepreneurs. Un nouveau métier connaît ainsi un important succès ces dernières années, celui de Data Protection Officer. Ce spécialiste informatique peut être employé par une entreprise pour assurer à temps plein la sécurité des données. Il s’assure que les données et les logiciels utilisés au quotidien sont protégés, mais également conformes aux règles métiers qui peuvent varier selon les secteurs. Il utilise pour cela des techniques de protection poussées faisant intervenir le chiffrement des données via des clés spécifiques et l’usage de valeurs de substitution. Les informations sensibles seront stockées dans un coffre-fort virtuel sous sa surveillance. .
Selon la CNIL, » l’article 37 du RGDP oblige les opérateurs (responsable de traitement et sous-traitant), dans certains cas, à désigner un DPO. Le G29 encourage, par ailleurs, toutes les entreprises à procéder à la désignation d’un DPO, étant précisé qu’en cas de désignation « volontaire » d’un DPO, l’entreprise devra respecter l’ensemble des dispositions du RGDP y afférentes. «
Selon le RGPD (Réglement Général sur la Protection des Données), « il est obligatoire de désigner un DPO : si le traitement des données personnelles est effectué par une autorité publique ou un organisme public, si les « activités de base » du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un « suivi régulier et systématique » à « grande échelle » des personnes concernées, si les « activités de base » du responsable du traitement ou du sous-traitant consistent en un traitement à « grande échelle » des données « particulières », c’est-à-dire sensibles au sens de la réglementation en matière de données personnelles (telles que les données de santé ou relatives à des infractions ou condamnations). »
L’expertise humaine constitue une plus-value incontestable par rapport à un simple logiciel. En France, on estime que près de 15000 sociétés, allant des PME aux grands groupes, font déjà appel à un Data Protection Officer pour sécuriser leur système.
Référence: gtemps.com