En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 11/10/2017
    Les Assises de la sécurité et des systèmes d’information 2017

    La 17ème édition des Assises de l'événement incontournable en matière de cybersécurité aura lieu du 11…

    en détail En détail...
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
Appels d'offres en cours
  • Recrutement de 6 designers dans le cadre d'une opération d'envergure
    A déterminer €
    > En savoir plus
  • Designer pour la réalisation de dossiers techniques
    < 1 500 €
    > En savoir plus
  • Création d'un site vitrine pour une société spécialisée dans la réalisation et la restauration de façades
    < 1 500 €
    > En savoir plus
Microsoft_MS experience S1 AI_leaderboard

Expert – Mise en conformité à la GDPR : la visibilité, un prérequis

Microsoft_MS experience S1 TRUST_pave

Le nouveau règlement européen sur la protection des données impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité, explique ici Stephane Johnson, VP Sales EMEA South and Central chez Ixia.

Le 25 mai 2018, le Règlement européen Général sur la Protection des Données (GDPR) va s’appliquer à tous les pays membres de l’Union Européenne. À cette date, les organisations ressortissantes devront avoir pleinement mis en œuvre les mesures nécessaires pour s’y conformer au risque de se voir infliger des sanctions.

La GDPR, s’appliquant à la fois la sécurité et la visibilité, va impacter la plupart des entreprises en deux points. D’abord, les entreprises européennes, ou travaillant avec des résidents de l’UE devront veiller à ce que le traitement des données personnelles, stockées ou en circulation, soit conforme avec la nouvelle réglementation. Ensuite, elles devront garantir que celles-ci ne puissent être envoyées vers un pays hors UE, susceptibles d’avoir des normes de sécurité plus faibles.

La mise en application de la GDPR aura donc une incidence sur la façon d’organiser les données personnelles (recueil, enregistrement, stockage), ainsi que sur leurs modalités de partage. La définition de « données personnelles » retenue par la GDPR est large et comprend toutes les données privées ou professionnelles, y compris les noms, adresses, photos, adresses électroniques, coordonnées bancaires, publications sur les réseaux sociaux, informations médicales et même l’adresse IP. Il s’agit donc d’un règlement à multiples facettes qui impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité.

Voici quelques conseils pour les améliorer.

Visibilité – et invisibilité – des données

Pour savoir à quel pays les données sont envoyées, les organisations ont besoin de s’appuyer sur une architecture réseau conçue pour accroitre la visibilité, et qui délivre en temps réel une vision du flux de données qui y circule. Ils doivent également savoir si ces données sont cryptées ou non, et si elles ne le sont pas, s’assurer qu’elles soient « pseudonymisées ».

Cependant, le fait de considérer les adresses IP comme des données personnelles complique les choses et inverse les approches traditionnelles en matière de visibilité. En effet, au lieu d’ouvrir le réseau à une analyse approfondie des données via des outils de plus en plus puissants, la GDPR exige que le flux de données personnelles confidentielles soit restreint. Par conséquent, les organisations ont besoin d’une architecture de visibilité capable de protéger les adresses IP.

L’une des options consiste donc à déployer des outils utilisant le masquage des données. Initialement développés pour sécuriser les informations d’identification personnelle, ces outils s’avèrent particulièrement adaptés à la mise en conformité à la GDPR. Le principe est qu’un administrateur peut définir lui-même le masquage des données en fonction de leur nature (carte de crédit, adresse IP…)

Le masquage des données est aussi lié également au Secure Socket Layer (SSL), que de nombreuses organisations utilisent pour des raisons de sécurité, et notamment l’identification des menaces dans les charges utiles malveillantes. Une fois la charge utile déchiffrée, toute donnée sensible peut être masquée afin de faciliter la conformité.

Les organisations hors UE qui traitent des données appartenant à des citoyens de l’UE doivent, elles aussi, offrir une protection équivalente et par conséquent déployer des processus et des technologies pour se conformer à la GDPR. Puisqu’il est difficile de séparer les données les unes des autres, la géolocalisation des données utilisateur est un élément essentiel à mettre en place pour identifier le trafic provenant de l’UE.

Les enjeux liés à l’environnement Cloud

Au-delà du stockage en local, les environnements cloud apportent eux aussi de nouvelles problématiques. Si une organisation traite des données personnelles en utilisant les deux méthodes simultanément, le cryptage des données entre les deux infrastructures est essentiel.

Les déploiements sur un cloud privé nécessitent quant à eux des architectures capables d’exploiter, surveiller et orienter le trafic vers un Network Packet Broker (NPB), tout en garantissant le même masquage des données et l’identification de la géolocalisation que sur un réseau physique.

En ce qui concerne le cloud public, les organisations doivent demander à leur fournisseur la garantie que le service est conforme à la GDPR, et s’il fait partie de l’initiative Cloud Infrastructure Services Providers en Europe (CISPE). Cette dernière est une association de plus de 20 fournisseurs de services cloud internationaux et basés en UE qui ont développé une charte de protection des données qui peut devenir un cadre pour la conformité GDPR.

Toutefois, il est à noter que la responsabilité d’assurer la conformité à la GDPR incombe à l’organisation et ne peut en aucun cas être laissée au seul fournisseur de services.

Mettre son réseau à l’épreuve

En plus d’avoir une visibilité sur les réseaux physiques et virtuels, les organisations doivent s’assurer que leur réseau est solide et protégé contre les violations des données. Pour ce faire, Il est important d’utiliser une architecture de test qui peut simuler avec précision un réseau en produisant du trafic qui intègre à la fois des informations personnelles mais aussi des logiciels malveillants provenant de diverses zones géographiques. Cela permet d’évaluer que les solutions de sécurité mises en place arrêtent les menaces mais autorisent un trafic valide.

En conclusion, avec une architecture de visibilité appropriée qui leur permet de :

• suivre les données sensibles en temps réel

• surveiller le trafic chiffré pour les données sensibles

• identifier et masquer les données des personnes identifiables

… à travers les environnements locaux et cloud, les organisations créeront une base solide pour se conformer aux exigences de la GDPR.

Expert – Mise en conformité à la GDPR : la visibilité, un prérequis
Notez cet article

Laisser un commentaire

AI Hackademy : l’intelligence artificielle au service de l’entreprise

L'évènement de MS Experiences'17, les 3 & 4 octobre. Découvrir l’intelligence artificielle : démos innovantes, expériences immersives au sein de l’AI Hackademy.

Agenda et inscription gratuite

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Après les Etats-Unis, Qualcomm veut interdire la vente des derniers iPhone en Allemagne

    Don Rosenberg, Executive Vice-President et General Counsel de Qualcomm Inc., annonce la poursuite en justice…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expert - SD-WAN : comment éviter les problèmes de déploiements en dix points clés 

    Une migration SD-WAN sans couture à l’heure du tout connecté ? Alexandre Chichkovsky, Global Network Evangelist…

    > En savoir plus...
Etudes/Enquêtes
  • Lutte contre les ransomwares : en France, les PME préfèrent la formation à l'approche technologique

    On sait les entreprises françaises attachées à la formation de leurs collaborateurs. En matière de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
Microsoft_MS experience S1 TRUST_skycraper
Agenda
livres blancs
Les Livres
Blancs
TSystems_Cybercrime_skycrapper