Menu
logo

Ce que le règlement général européen sur la protection des données implique pour vous et votre entreprise

Par Robert Arandjelovic, directeur de la stratégie de sécurité chez Blue Coat, nouvelle société Symantec


Robert Arandjelovic, directeur de la stratégie de sécurité chez Blue CoatAvec l'adoption du règlement général sur la protection des données (GDPR), les citoyens européens bénéficieront bientôt d'une protection cohérente sur l'ensemble de la région, et auront en outre davantage leur mot à dire quant au traitement de leurs données par des organisations privées. La question est de savoir ce que ces organisations doivent changer pour se conformer à cette nouvelle réglementation ?

Applicable à partir du 25 mai 2018, le GDPR établit des standards minimaux en matière de traitement, de sécurité et de partage des données personnelles des résidents de l'Union européenne. Compte tenu de l'étendue des changements nécessaires au niveau des individus, des processus et des technologies à moins de deux ans de la date fatidique, les entreprises les plus visionnaires ont déjà lancé leurs processus de mise en conformité.

Même le Brexit n'empêchera pas le GDPR de changer la façon dont les données sont contrôlées et sécurisées par les organisations britanniques. En effet, ce règlement concerne les données personnelles des citoyens européens et ne s'applique pas en fonction de la présence ou non d'une entreprise dans l'UE. En vertu de sa clause d'extra-territorialité, si vous vendez ou faites la publicité de produits ou services à 5 000 personnes dans la région, vous devrez en respecter les principes. En tout état de cause, le Royaume-Uni n'ayant toujours pas annoncé les modalités de sa sortie de l'Union, l'ensemble des réglementations européennes en vigueur continuent de s'appliquer.

Les changements prévus

Le GDPR harmonisera les réglementations en matière de protection des données dans l'ensemble de l'UE, remplaçant ainsi les dispositions nationales existantes des pays membres. Même si les normes appliquées seront en réalité bien moins rigoureuses pour la plupart d'entre eux et qu'elles nécessiteront la mise en place de nouvelles mesures dédiées au sein des organisations, cette cohérence devrait simplifier les activités des entreprises. Actuellement, celles-ci doivent maîtriser 28 différents programmes de protection. Le GDPR simplifiera considérablement tout cela, tout en permettant malgré tout à chaque pays membre d'établir des réglementations locales complétant la législation européenne.

Parmi les éléments clés de ces nouvelles règles figurent le "droit à l'oubli" ; l'obligation d'information en cas de fuite ; de nommer des responsables de la protection des données (DPO) ; d'avoir recours à des processus et technologies de protection des données pouvant être vérifiés ; ainsi que des amendes allant jusqu'à 4 % des chiffres d'affaires annuels des organisations, ou 20 millions d'euros maximum, en cas d'infraction grave.

Selon le cabinet d'analystes Ovum, 70 % des entreprises prévoient d'accroître leurs investissements afin de répondre aux exigences en matière de protection et de souveraineté des données. L'une de leurs principales motivations est le fait que tout manquement à cet égard à l'issue de la période de transition de deux ans aura des conséquences considérables pour les entreprises, dont le risque d'être régulièrement soumises à des audits de leurs systèmes de protection des données.

Comment se mettre en conformité ?

Les organisations se doivent de déployer des technologies et des procédures de pointe. L'accent doit être mis sur des architectures flexibles capables d'intégrer de nouvelles technologies, la définition de "de pointe" évoluant au fil du temps.

Les technologies de chiffrement feront vraisemblablement partie de celles requises pour protéger les données sensibles, contribuant ainsi à la croissance rapide du trafic réseau et Internet chiffré. Les organisations devront cependant faire attention aux cybercriminels dissimulant leurs attaques au sein d'un trafic en apparences inoffensif. Malheureusement, la plupart des outils de sécurité ne sont pas en mesure d'analyser les données chiffrées à la recherche de malwares, ou de signes d'une attaque chiffrée ou d'exfiltration. De fait, le chiffrement constitue donc un outil simple et efficace pour contourner les systèmes de contrôle de sécurité. La solution consiste à mettre en place une stratégie de chiffrement associant confidentialité des données à une sécurité renforcée. Il existe pour cela des technologies E (gestion du trafic chiffré) qui permettent aux organisations de déchiffrer certains types de trafic. Le contenu est ensuite transféré de façon sécurisée afin de subir des contrôles de sécurité, puis à nouveau chiffré et envoyé vers sa destination.

L'obligation d'information en cas de fuite de données est également un problème potentiel. Conformément au GDPR, les organisations dans ce cas sont en effet tenues d'informer l'Autorité de surveillance de l'Union européenne dans les 72 heures. Elles doivent donc évaluer sans attendre leurs capacités actuelles de résolution des problèmes, afin d'être en mesure de dresser rapidement un tableau complet des incidents et de leurs causes.

Mais cela n'est pas aussi simple que cela en a l'air. Selon une enquête de Ponemon Institute, il faut parfois plus de 250 jours pour détecter une fuite de données, et 80 de plus pour la résoudre. Ces délais augmentent lorsque les équipes chargées de la gestion des incidents doivent examiner manuellement d'importants volumes de données hétérogènes afin de déterminer ce qui s'est passé, qui est affecté et comment corriger le problème.

L'intelligence automatisée est importante pour améliorer la capacité des organisations à alerter les intéressés des fuites de données, et pour montrer aux autorités qu'elles ont pris les mesures suffisantes afin de les détecter et de résoudre ces situations. Les solutions de Gestion des informations et des événements de sécurité (SIEM) ou encore d'Analyse rétrospective des incidents réseau leur permettent de capturer automatiquement l'ensemble des données des réseaux à un emplacement unique. Elles peuvent ainsi identifier la méthode employée par les pirates, les ressources affectées et les données concernées.

Le contrôle des données hébergées dans le cloud

De nombreuses organisations considèreront le cloud comme une brèche particulièrement béante au sein de leurs stratégies de protection des données. En raison de leur dépendance croissante aux applications cloud, elles rencontrent de plus en plus de problèmes en matière de confidentialité, de conformité et de sécurité. Les données des utilisateurs sont en effet plus exposées par rapport à l'époque où elles étaient confinées dans des systèmes locaux. Le risque de violation du règlement GDPR en cas de fuite de données s'en trouve donc accru.

Le résultat est que peu d'organisations disposent d'une visibilité et d'un contrôle complets sur leurs données, tout simplement parce qu'elles ne sont pas maîtres de l'infrastructure sur laquelle s'exécutent leurs applications. C'est d'ailleurs là que réside à la fois toute la beauté et l'horreur des applications cloud.

Les technologies de sécurisation des accès aux applications cloud (CASB) ont pour but de résoudre ces problèmes de protection et de résidence. Elles offrent une visibilité sur l'utilisation et sur les données circulant vers ces applications. Il est également possible de contrôler les identités des individus autorisés à les utiliser ou à visualiser certains types d'informations, et de découvrir quelles applications peuvent échanger des données privées.

La tokénisation s'annonce elle aussi comme une technologie utile en matière de résidence des données. Grâce à elle, les organisations peuvent utiliser des applications cloud en toute sécurité en substituant des "jetons" sécurisés à des données privées, tandis que le trafic est transféré vers des serveurs d'applications cloud via Internet. De cette façon, les données privées ne quittent jamais le périmètre de l'organisation. Celle-ci peut ainsi répondre aux exigences de résidence des données et se conformer à l'obligation de protection suffisante du GDPR en cas de fuite, sans oublier les réglementations en matière de résidence des données des cadres Safe Harbor et Privacy Shield.

Le GDPR entrera en application en 2018. Il est donc nécessaire de sensibiliser sans plus tarder vos dirigeants à l'importance de protéger leurs données et aux conséquences de leur non-conformité. Que le GDPR soit ou non le facteur vous incitant à renforcer votre gouvernance, il est grand temps que davantage d'organisations de premier plan relèvent le défi consistant à sécuriser leurs données face à l'évolution rapide du cloud computing.

Publié le 20 septembre 2016 par Emmanuel Forsans

Commentaires des lecteurs

Soyez le premier à commenter cette information.

Partager