L'authentification à deux facteurs, une solution pour se conformer au RGPD
Une étude récemment publiée par l'ENISA, l'Agence européenne chargée de la sécurité des réseaux et de l'information, qui conseille les États membres et les entreprises du secteur privé pour la mise en œuvre de la législation européenne, offre des directives pour adopter les bonnes mesures afin de se conformer au Règlement général sur la protection des données (RGPD, ou GDPR en anglais). Les recommandations de l'ENISA incluent l'authentification à deux facteurs et la sécurité des applications mobiles en tant que mesures techniques pour les situations à haut risque.
Le RGPD est devenu le principal cadre juridique pour la protection des données au sein de l'Union européenne. Il marque une étape importante vers la valorisation de la vie privée des citoyens européens. En outre, le RGPD s'applique à toutes les entreprises qui proposent leurs produits ou services aux citoyens de l'UE, peu importe leur taille, leur secteur d'activité ou le pays où elles sont enregistrées, tant qu'elles traitent des données personnelles en tant que responsable du traitement ou sous-traitant.
Comme stipulé dans l'Article 32 du RGPD, l'une des obligations fondamentales pour ces entreprises consiste à mettre en place des mesures techniques qui visent à protéger ces données personnelles : ainsi, les responsables du traitement des données et les sous-traitants « doivent mettre en œuvre les mesures techniques et structurelles adéquates pour garantir un niveau de sécurité adapté au risque ».
Les conséquences et pénalités en cas de non-conformité peuvent être très importantes : jusqu'à 4 % du chiffre d'affaires global annuel, ou 20 millions d'euros, selon le montant le plus élevé. Elles doivent également signaler toute violation de données sous 72 heures, et encourent le risque de fortement entacher leur image de marque en retour.
Directives de l'ENISA pour le respect du RGPD
L'étude réalisée par l'ENISA sur l'adoption de mesures de sécurité structurelles et techniques afin de respecter le RGPD se base sur une approche axée sur le risque, afin de définir les mesures appropriées dans les différents domaines.
Par exemple, dans le domaine du contrôle d'accès et de l'authentification, l'ENISA recommande de mettre en œuvre l'authentification à deux facteurs dans les cas à haut risque et dans certains cas moins risqués, comme suit : « L'authentification à deux facteurs doit préférablement être utilisée pour accéder à des systèmes qui traitent des données personnelles. Les facteurs d'authentification peuvent prendre la forme de mots de passe, de jetons de sécurité, de dispositifs USB dotés d'un jeton secret, de solutions biométriques, etc. »
Dans le domaine des appareils mobiles, l'ENISA indique que ces derniers augmentent le risque de vol ou de perte accidentelle. De plus, ces appareils sont généralement utilisés à des fins personnelles. Il faut donc y apporter une attention particulière afin de s'assurer que les données relatives à une entreprise ne soient pas compromises. Pour cela, les directives indiquent que « l'authentification à deux facteurs devrait être envisagée pour accéder aux appareils mobiles, et les données personnelles conservées sur ces derniers devraient être chiffrées ».
Enfin, pour ce qui est du développement des applications, l'ENISA recommande de garantir que la sécurité des données personnelles est bien prise en compte. Au cours du cycle de développement, cela implique que « les bonnes pratiques, ainsi que les pratiques, cadres ou normes de pointe et de développement sécurisés et reconnus doivent être suivis », même pour les cas les moins risqués.
Conclusion
Moins d'un an avant l'entrée en vigueur des clauses du RGPD, les entreprises commencent tout juste à réfléchir aux changements qu'elles devraient opérer et à étendre leur sécurité informatique et leur stratégie commerciale existantes.
Cependant, il est impossible de prédire le délai nécessaire pour effectuer ces changements et l'impact qu'ils auront sur votre entreprise. C'est pourquoi l'ENISA recommande à l'UE de communiquer davantage et d'informer les entreprises afin de les convaincre de prendre des mesures relatives au RGPD.
Ainsi, je suis persuadé que ce rapport de l'ENISA représente un bon point de départ pour les entreprises qui veulent évaluer leur aptitude à se conformer au RGPD.
Apprenez-en plus sur VASCO, l'authentification à deux facteurs, la sécurité des applications mobiles et le blindage des applications avec les solutions de sécurité RASP.