En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Mise en place d'un intranet collaboratif pour une association
    < 60000 €
    > En savoir plus
  • Création de site Internet vitrine pour une société de conseil en affaires
    A déterminer €
    > En savoir plus
  • Création d'un site E-Commerce pour un photographe scolaire
    < 5 000 €
    > En savoir plus
GlobalK_GDPR _leaderboard

AVIS D’EXPERT – Se préparer à la conformité au RGPD

12/11/2017 | commentaires 0 commentaire |
Primobox_Demat RH_pave 2

 

 

 

C. Auberger,
Directeur Technique FORTINET France

 

 

En reconnaissant la valeur des données, le Règlement Général sur la Protection des Données (RGPD) tient les entreprises responsables de la protection des données personnelles recueillies, stockées et utilisées, tout en exigeant qu’elles rendent aux individus le contrôle et la protection sur leurs données.

 

La conformité au RGPD nécessite des changements au niveau des workflows de traitement, de la structure organisationnelle, des processus métiers et, in fine, des technologies informatiques et de sécurité.

Responsabilité et gouvernance

L’entreprise doit être capable d’apporter les preuves de sa conformité via des mesures de gouvernance appropriées, documents détaillés, logs ou programme d’évaluation continu des risques. Le RGPD impose une “protection des données dès la conception et par défaut” impliquant l’intégration de la sécurité dès les phases amont de design d’un système, et non rétrospectivement. Cette exigence souligne le rôle essentiel de la sécurité du réseau en tant que première ligne de défense. En attendant que les nombreux systèmes existants puissent être repensés pour intégrer des fonctions de sécurité, la sécurité réseau reste souvent la seule défense contre les violations de données. Alors que de nouvelles vulnérabilités sont découvertes, les technologies de sécurité et les méthodes de protection des données, conformes aujourd’hui, devront être mises à jour ou remplacées pour pérenniser cette conformité.

Les défis de la sécurité réseau

Les menaces en mutation posent un réel défi. Un défi qu’accentue le RGPD en imposant aux entreprises de déployer une sécurité qui relève de l’état de l’art. L’évolution de la cybersécurité, l’identification de nouveaux vecteurs d’attaque impose souvent de renforcer l’arsenal de sécurité existant en y intégrant un nouvel outil de sécurité. Si ce nouvel outil assure sa tâche, il le fera néanmoins de manière cloisonnée, avec peu ou pas d’interactions avec les autres composantes de l’infrastructure. Ceci est non seulement difficile à gérer, mais peut entraîner des défaillances et une prise en charge des menaces non adaptée.

Le défi est d’autant plus grand que la mobilité, le cloud et l’Internet des Objets sont des tendances qui étendent la surface d’attaque, qui introduisent de nouvelles vulnérabilités et remettent en cause le concept traditionnel de la périphérie du réseau.

Une notification des violations dans les 72 heures

Le renforcement des traitements et des contrôles de sécurité répond à ces nouvelles menaces, mais un contrôle plus important entraîne souvent des perturbations. Aussi, de nouveaux outils de sécurité favorisent la complexité, en multipliant le nombre de sources de données devant être agrégées et analysées afin de déterminer la réponse la plus appropriée à un incident détecté. Toute solution relevant de l’état de l’art devra non seulement remédier aux défis mentionnés, mais aussi s’adapter aux changements qui s’opèrent dans le monde des technologies et dans l’univers des menaces.

Le RGPD impose aux entreprises de notifier les violations de données aux autorités de contrôle. Encore faut-il savoir détecter une violation de données, ainsi que les ressources ciblées. En 2016, le délai moyen d’identification d’une violation par les entreprises était de presque cinq mois. Même si le délai de 72 heures qu’impose le RGPD pour la notification de la violation démarre au moment de la détection et non de l’intrusion per se, de tels incidents doivent être impérativement détectés au plus vite, puisque l’impact financier est proportionnel à la durée pendant laquelle un hacker opère furtivement au sein du réseau.

Il n’est certes pas possible de détecter l’indétectable et les administrateurs de la sécurité doivent accepter l’inévitable, tout en essayant de minimiser le nombre d’intrusions et d’accélérer leur détection. Aussi, une attaque qui n’a jamais été rencontrée auparavant ne signifie pas qu’elle est indétectable. En misant sur l’analyse du trafic réseau et sur une veille des menaces, des attaques inconnues peuvent être identifiées et neutralisées.

L’approche traditionnelle de la sécurité réseau, qui consiste à déployer plusieurs outils de sécurité cloisonnés, se contente de faire confiance à la capacité d’un administrateur de sécurité à prendre les bonnes décisions. Mais une telle approche est risquée. Alors que les réseaux gagnent en complexité et que les incidents de sécurité sont plus nombreux, il devient essentiel d’encourager la collaboration et une automatisation intelligente au sein de l’infrastructure de sécurité.

www.fortinet.com

Auteur : C. Auberger, Directeur Technique FORTINET France

Dossier publié dans Solutions Numériques N°18

AVIS D’EXPERT – Se préparer à la conformité au RGPD
Notez cet article

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 24 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • APPLE BAISSE DE 50 DOLLARS LE PRIX DE LA BATTERIE DE L'IPHONE

    Après la révélation du bridage caché des des iPhone 6, 6S et SE, Apple a…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - Automatisation des dépenses : entreprises, libérez vos collaborateurs !

    Karim Jouini, co-fondateur et CEO d' Expensya, start-up fondée en 2015 par à l'origine d'une application intelligente…

    > En savoir plus...
Etudes/Enquêtes
  • Automatisation, numérisation et emploi : l’impact sur le travail

    Le Conseil d’orientation pour l’emploi (COE) vient d’adopter un nouveau rapport sur les conséquences de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
GlobalK_GDPR _skycraper