21.3 C
New York
jeudi, septembre 12, 2024

Buy now

spot_img

Protection des données pour les entreprises ayant des freelances

Le paysage de l’emploi est aujourd’hui radicalement différent de ce qu’il était il y a quelques années encore, en grande partie grâce à la popularité croissante des freelances. Cette forme d’emploi offre une immense liberté de choix et un équilibre entre vie professionnelle et vie privée pour les employés, et les entreprises qui emploient des freelances bénéficient d’économies importantes sur des avantages tels que les congés payés, l’assurance maladie et les plans de retraite.

La popularité du travail en freelance a considérablement augmenté ces dernières années, comme l’indiquent les recherches d’Upwork. Leur rapport Freelancing in America de 2017 révèle des aperçus surprenants sur l’essor continu du travail en freelance, notamment ces faits marquants :

  • Près de la moitié de tous les Millennials sur le marché du travail sont déjà des freelances.
  • 36 % des travailleurs américains sont des freelances, qui contribuent à l’économie à hauteur de 1 400 milliards de dollars par an.
  • La main-d’œuvre indépendante augmente plus rapidement que la main-d’œuvre globale et devrait devenir majoritaire d’ici 2027.

Avec des avantages tant pour les travailleurs que pour les entreprises qui les emploient, la frénésie des freelances ne s’arrêtera pas de sitôt. Cependant, dans leur quête pour tirer parti de cette tendance croissante, les entreprises négligent trop souvent un aspect essentiel : la sécurité des données.

Il est essentiel de comprendre les vulnérabilités que les freelances introduisent dans votre entreprise, ainsi que les règles et réglementations relatives à la sécurité des freelances, pour profiter en toute sécurité de l’économie des freelances.

Le travail en freelance est-il une menace pour la sécurité ?

sécurité des données
sécurité des données

Si la constitution d’un fichier de pigistes peut libérer des fonds et accroître la productivité de votre organisation, elle peut également exposer vos données à des vulnérabilités inutiles. En général, les freelances sont considérés comme une menace pour la sécurité des données.

Une enquête iPass menée auprès de 500 décideurs informatiques aux États-Unis, au Royaume-Uni, en Allemagne et en France a montré que plus de la moitié des DSI soupçonnent que les travailleurs mobiles ont causé un problème de sécurité ou ont été piratés au cours de l’année écoulée.

Étant donné que le travail à distance est l’un des plus grands avantages du travail en freelance, cette statistique est profondément troublante. Examinons les trois principales façons dont les freelances peuvent compromettre les données de votre organisation.

1. Dispositifs personnels

Il n’est pas toujours financièrement possible pour les organisations de fournir même à leurs employés à plein temps des appareils appartenant à l’entreprise, et encore moins de les offrir aux indépendants. Cela signifie que les travailleurs indépendants utilisent souvent leurs smartphones, tablettes et ordinateurs personnels pour traiter toutes les données auxquelles ils ont accès.

Le mélange de données personnelles et de données de l’entreprise sur un appareil donné signifie qu’une partie des informations de votre organisation est à la merci des caprices d’un travailleur indépendant. S’il décide de télécharger une application sommaire pendant sa pause déjeuner, tout logiciel malveillant qu’elle contient pourra cibler les informations du travailleur et celles de votre entreprise d’un seul coup.

2. Réseaux publics

Le stéréotype idyllique du café comme bureau est une réalité pour de nombreux indépendants, et cela signifie qu’il faut utiliser n’importe quel réseau public disponible. Dans l’étude iPass, 27 % des personnes interrogées ont déclaré que leur entreprise interdit l’utilisation de points d’accès WiFi gratuits à tout moment, tandis que 40 % interdisent le WiFi gratuit dans certaines circonstances.

Les entreprises qui n’ont pas de politique concernant les réseaux publics ou qui ne veillent pas à ce que les freelances respectent une politique existante négligent un risque de sécurité important. Il n’y a peut-être pas un hacker en sweat à capuche qui rôde dans tous les coins de café, mais le traitement de toute information d’entreprise sur un réseau public est tout simplement une mauvaise pratique.

Les entreprises sont de plus en plus avisées lorsqu’il s’agit de mettre en place des connexions sécurisées pour les travailleurs à distance. iPass rapporte qu’en 2016, seulement 26 % des entreprises ont déclaré être pleinement convaincues que les travailleurs à distance utilisaient un réseau privé virtuel (VPN) chaque fois qu’ils accédaient à l’internet. En 2018, ce chiffre était de 46 %, ce qui représente une amélioration considérable. Cependant, cela signifie que plus de la moitié des entreprises négligent encore le danger que représentent les réseaux publics.

3. Manque de formation

La formation à la cybersécurité est une ligne de défense cruciale que la plupart des entreprises ne mettent pas en œuvre, même pour leurs employés à plein temps. Seulement 45 % des entreprises disposent d’une formation de sensibilisation à la sécurité que tous les employés doivent suivre, ce qui laisse plus de la moitié des entreprises sans programmes complets qui pourraient prévenir une violation coûteuse des données.

Comme les indépendants travaillent souvent à distance, ils reçoivent rarement le même niveau de formation que leurs collègues sur site lorsqu’ils travaillent pour une organisation. Dans de nombreux cas, les entreprises n’exigent pas des freelances qu’ils participent à une formation officielle, mais attendent d’eux qu’ils respectent eux-mêmes les règles. Sans garanties telles que les VPN et les politiques strictes en place, une entreprise ne peut pas savoir si un travailleur indépendant est réellement au courant des meilleures pratiques en matière de sécurité des données.

Réglementation relative à la sécurité des freelances

Le respect de la réglementation est un élément essentiel dans toute entreprise, et le renforcement des protections des données privées met en évidence certains des risques associés à l’embauche de freelances. Les entreprises qui opèrent aux États-Unis, en Europe ou dans les deux pays font l’objet d’une surveillance accrue et doivent améliorer la gestion des pigistes pour rester en conformité avec les nouvelles lois sur la protection de la vie privée.

1. Les lois américaines sur la protection des données

Les États-Unis n’ont pas de loi fédérale unique régissant la confidentialité des données. Au lieu de cela, un patchwork de réglementations couvrant différentes industries et entités donne aux entreprises un paysage de sécurité compliqué à parcourir. Le Health Insurance Portability and Accountability Act (HIPAA) est la réglementation la plus connue en matière de protection des données, applicable à certaines entités et à des types particuliers de données relatives à la santé.

Les nouvelles mesures de protection des données se concentrent sur les données générales des consommateurs. La loi californienne sur la protection de la vie privée des consommateurs (CCPA) de 2018, qui entrera en vigueur en 2020, prévoit des mesures de protection des données parmi les plus strictes du pays. Elle garantira les droits des consommateurs :

  • Savoir quelles données les organisations collectent à leur sujet
  • S’abstenir de vendre des données à des tiers
  • Accéder et télécharger les données collectées à leur sujet
  • Transférer leurs données à un autre service
  • Supprimer leurs données

La loi permet également aux consommateurs de poursuivre les entreprises en cas de violation des données. Si une entreprise est jugée non conforme à la nouvelle loi, le procureur général de Californie infligera des amendes à l’organisation fautive.

D’autres États américains suivent l’exemple de la Californie et adoptent de nouvelles lois sur la protection des données afin de restreindre ce que les entreprises peuvent faire avec les informations sur les consommateurs. Le Vermont a été le premier État à promulguer une réglementation sur les courtiers en données.

L’Alabama et le Dakota du Sud ont été les derniers États à mettre en œuvre des lois sur la notification des violations de données. L’Arizona, le Colorado, l’Oregon et la Virginie ont élargi la définition des informations personnelles, tandis que le New Jersey et le Rhode Island prévoient de mettre en œuvre des lois similaires à la CCPA.

2. Les lois européennes sur la protection des données

Mis en œuvre en mai 2018, le règlement général sur la protection des données (RGDP) est la loi sur la vie privée la plus stricte au monde. Il s’applique à toute entreprise qui détient les données de toute personne résidant dans l’un des 28 pays de l’Union européenne (UE). La législation s’applique à deux types de responsables du traitement des données : les sous-traitants et les contrôleurs.

Selon l’article 4 du GDPR, un responsable du traitement est une personne, une autorité publique ou une organisation qui « détermine les finalités et les moyens du traitement de données à caractère personnel ». Un sous-traitant est une entité qui traite des données à caractère personnel pour le compte du responsable du traitement.

Les données à caractère personnel comprennent toute information concernant une personne en particulier. Il peut s’agir de n’importe quoi, depuis un nom ou des données de localisation jusqu’à d’autres facteurs « spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale » d’une personne. Cette définition extrêmement large des données signifie que presque tout type de données est réglementé par le GDPR. Cette loi prévoit huit droits fondamentaux pour les personnes :

  1. Droit d’accès : Les personnes peuvent demander l’accès à leurs données et découvrir comment les organisations les ont recueillies. Si un consommateur souhaite obtenir une copie des données, les entreprises doivent la lui fournir.
  2. Droit d’être oublié : Si les consommateurs retirent leur consentement, les entreprises doivent supprimer les données personnelles.
  3. Droit à la portabilité des données : Les personnes sont autorisées à transférer leurs données d’un fournisseur de services à un autre.
  4. Droit d’être informé : Les entreprises doivent informer les gens avant de recueillir des données et les particuliers doivent donner leur accord. Il n’y a pas de consentement implicite dans le cadre du GDPR.
  5. Droit à une information correcte : Si les personnes découvrent que leurs données sont incorrectes, elles ont le droit de demander qu’elles soient mises à jour.
  6. Droit à un traitement restreint : Les particuliers peuvent demander que les entreprises n’utilisent pas leurs données à des fins de traitement.
  7. Droit d’opposition : Les personnes peuvent empêcher les entreprises d’utiliser leurs données à des fins de marketing direct. Les entreprises doivent y mettre fin dès qu’elles reçoivent une demande en ce sens.
  8. Droit d’être informé : Les violations de données doivent être signalées à chaque personne concernée dans les 72 heures suivant leur découverte.

Tout cela signifie que les pigistes de votre organisation ont plus à surveiller que jamais lorsqu’il s’agit de traiter des données en toute sécurité. Si vos freelances commettent une erreur qui entraîne une violation des données, votre entreprise pourrait être tenue responsable et se voir infliger de lourdes amendes. La violation du GDPR entraîne deux niveaux de conséquences.

Le niveau inférieur des amendes fera perdre aux entreprises jusqu’à 10 millions d’euros, soit 2 % de leur chiffre d’affaires mondial. Si une entreprise se voit infliger le niveau d’amende le plus élevé, elle devra payer jusqu’à 20 millions d’euros, soit 4 % de son chiffre d’affaires mondial de l’année précédente. Avec des enjeux aussi élevés, aucune organisation ne peut se permettre de négliger la relation entre la sécurité des données et les freelances.

La voie de la sécurité : Quelle est la prochaine étape ?

Les risques inhérents au travail avec les free-lances ne doivent pas vous effrayer à l’idée de les engager entièrement.

Prendre les mesures appropriées pour atténuer les risques et gérer la sécurité des données contribuera grandement à assurer la conformité réglementaire tout en permettant à votre entreprise de tirer parti de cette tendance en matière de main-d’œuvre. Voici cinq mesures à prendre avant d’engager votre prochain lot de free-lances.

1. Offrir une formation complète

Les free-lances devraient déjà avoir des plans en place pour assurer la conformité avec toutes les réglementations applicables.

Toutefois, les entreprises devraient prévoir au moins une formation pendant l’embarquement afin de s’assurer que vous êtes tous deux sur la même longueur d’onde en ce qui concerne les attentes. Si vous disposez d’un manuel de sécurité, assurez-vous que les free-lances y ont également accès.

Proposer une formation est un moyen intelligent de renforcer la conformité tout en faisant savoir à vos free-lances que vous les prenez au sérieux et que vous voulez qu’ils réussissent dans votre partenariat.

2. Mettre en place des contrôles d’accès

Pour s’assurer que personne ne voit ou ne manipule des données dont il n’a pas besoin, la mise en place de contrôles d’accès aux données est le premier point de départ. Créez un accès basé sur les rôles et assurez-vous qu’un système est en place pour supprimer rapidement les privilèges d’accès lorsqu’un projet se termine ou que l’accès est interrompu d’une autre manière.

Il est essentiel de mettre en place une approche de « moindre privilège » dans laquelle chaque personne de l’entreprise n’a accès qu’aux données dont elle a besoin.

3. Maintenir une politique de VPN

Il est essentiel que les travailleurs à distance et les indépendants aient toujours accès aux données des entreprises et des consommateurs par le biais d’un VPN. Le cryptage de bout en bout fourni par un VPN défend les données contre les pirates potentiels et les pièges des connexions réseau non sécurisées. Associé à des pare-feu et à une protection antivirus, l’utilisation d’un VPN est le meilleur moyen de sécuriser les données tout au long de l’accès à distance.

4. Mettre en œuvre la gestion des dispositifs

Une façon de réduire les risques que les free-lances utilisent leurs propres appareils est de mettre en place un système de gestion des appareils mobiles (MDM). Les fonctionnalités les plus importantes à avoir en cas de violation de données sont le verrouillage et l’effacement à distance, qui permettent à l’équipe informatique d’une organisation de verrouiller ou d’effacer les données en cas de perte ou de vol d’un appareil.

Les systèmes MDM les plus avancés offrent un effacement sélectif granulaire, qui peut identifier et supprimer uniquement les données appartenant à votre organisation tout en laissant les fichiers personnels du freelance intacts.

5. Envisagez de faire appel à des experts

Si cela vous semble beaucoup à traiter, vous n’êtes pas seul. Seulement 14 % des petites et moyennes entreprises (PME) jugent « très efficace » leur capacité à atténuer les risques et les vulnérabilités informatiques et à repousser les cyberattaques.

Dans de nombreux cas, les capacités des équipes informatiques internes ne s’étendent pas à la sécurité des réseaux et des données. Cela peut être dû au fait qu’elles n’ont pas de formation spécifique en matière de sécurité ou que leurs tâches quotidiennes ne leur laissent pas le temps d’appliquer correctement les mesures de sécurité.

Exploiter une petite entreprise signifie travailler avec un budget serré, et la cybersécurité n’est pas un domaine dans lequel une organisation peut lésiner. Les services gérés tels que la détection des menaces informatiques et la gestion des journaux permettent aux PME d’obtenir le même niveau de sécurité que celui dont bénéficient les grandes entreprises, sans le coût lié à l’achat et à l’utilisation de leur propre équipement.

Vous êtes freelance ? Suivi toutes les actualités liées au freelancing sur le blog du freelance

D’autres article sur le site Informatique & Sécurité :

La Nantaise du Webhttps://www.informatique-securite.net/
Une expérience de 17 ans comme directeur Marketing et communication dans une PME. Dirigeant de l'entreprise et associé j'ai quitté la société d'édition de logiciel et de services pour de nouveaux horizon sur la région Loire Atlantique, Pays de Loire, Nantes, Rennes, Angers, Vendée

Related Articles

Stay Connected

0FansJ'aime
3,913SuiveursSuivre
0AbonnésS'abonner
- Advertisement -spot_img

Latest Articles