En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 21/03/2018
    Cloud Computing World Expo et Solutions Datacenter Management

    La 9ème édition de l’évènement phare du Cloud et des datacenters a lieu les 21…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour la vente de décorations 3D
    < 480 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de produits artisanaux
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de prêt-à-porter haut de gamme
    <900 €
    > En savoir plus
Ixia_RGPD_leaderboard

Expert – Mise en conformité à la GDPR : la visibilité, un prérequis

Tessi_Cetia_pave

Le nouveau règlement européen sur la protection des données impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité, explique ici Stephane Johnson, VP Sales EMEA South and Central chez Ixia.

Le 25 mai 2018, le Règlement européen Général sur la Protection des Données (GDPR) va s’appliquer à tous les pays membres de l’Union Européenne. À cette date, les organisations ressortissantes devront avoir pleinement mis en œuvre les mesures nécessaires pour s’y conformer au risque de se voir infliger des sanctions.

La GDPR, s’appliquant à la fois la sécurité et la visibilité, va impacter la plupart des entreprises en deux points. D’abord, les entreprises européennes, ou travaillant avec des résidents de l’UE devront veiller à ce que le traitement des données personnelles, stockées ou en circulation, soit conforme avec la nouvelle réglementation. Ensuite, elles devront garantir que celles-ci ne puissent être envoyées vers un pays hors UE, susceptibles d’avoir des normes de sécurité plus faibles.

La mise en application de la GDPR aura donc une incidence sur la façon d’organiser les données personnelles (recueil, enregistrement, stockage), ainsi que sur leurs modalités de partage. La définition de « données personnelles » retenue par la GDPR est large et comprend toutes les données privées ou professionnelles, y compris les noms, adresses, photos, adresses électroniques, coordonnées bancaires, publications sur les réseaux sociaux, informations médicales et même l’adresse IP. Il s’agit donc d’un règlement à multiples facettes qui impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité.

Voici quelques conseils pour les améliorer.

Visibilité – et invisibilité – des données

Pour savoir à quel pays les données sont envoyées, les organisations ont besoin de s’appuyer sur une architecture réseau conçue pour accroitre la visibilité, et qui délivre en temps réel une vision du flux de données qui y circule. Ils doivent également savoir si ces données sont cryptées ou non, et si elles ne le sont pas, s’assurer qu’elles soient « pseudonymisées ».

Cependant, le fait de considérer les adresses IP comme des données personnelles complique les choses et inverse les approches traditionnelles en matière de visibilité. En effet, au lieu d’ouvrir le réseau à une analyse approfondie des données via des outils de plus en plus puissants, la GDPR exige que le flux de données personnelles confidentielles soit restreint. Par conséquent, les organisations ont besoin d’une architecture de visibilité capable de protéger les adresses IP.

L’une des options consiste donc à déployer des outils utilisant le masquage des données. Initialement développés pour sécuriser les informations d’identification personnelle, ces outils s’avèrent particulièrement adaptés à la mise en conformité à la GDPR. Le principe est qu’un administrateur peut définir lui-même le masquage des données en fonction de leur nature (carte de crédit, adresse IP…)

Le masquage des données est aussi lié également au Secure Socket Layer (SSL), que de nombreuses organisations utilisent pour des raisons de sécurité, et notamment l’identification des menaces dans les charges utiles malveillantes. Une fois la charge utile déchiffrée, toute donnée sensible peut être masquée afin de faciliter la conformité.

Les organisations hors UE qui traitent des données appartenant à des citoyens de l’UE doivent, elles aussi, offrir une protection équivalente et par conséquent déployer des processus et des technologies pour se conformer à la GDPR. Puisqu’il est difficile de séparer les données les unes des autres, la géolocalisation des données utilisateur est un élément essentiel à mettre en place pour identifier le trafic provenant de l’UE.

Les enjeux liés à l’environnement Cloud

Au-delà du stockage en local, les environnements cloud apportent eux aussi de nouvelles problématiques. Si une organisation traite des données personnelles en utilisant les deux méthodes simultanément, le cryptage des données entre les deux infrastructures est essentiel.

Les déploiements sur un cloud privé nécessitent quant à eux des architectures capables d’exploiter, surveiller et orienter le trafic vers un Network Packet Broker (NPB), tout en garantissant le même masquage des données et l’identification de la géolocalisation que sur un réseau physique.

En ce qui concerne le cloud public, les organisations doivent demander à leur fournisseur la garantie que le service est conforme à la GDPR, et s’il fait partie de l’initiative Cloud Infrastructure Services Providers en Europe (CISPE). Cette dernière est une association de plus de 20 fournisseurs de services cloud internationaux et basés en UE qui ont développé une charte de protection des données qui peut devenir un cadre pour la conformité GDPR.

Toutefois, il est à noter que la responsabilité d’assurer la conformité à la GDPR incombe à l’organisation et ne peut en aucun cas être laissée au seul fournisseur de services.

Mettre son réseau à l’épreuve

En plus d’avoir une visibilité sur les réseaux physiques et virtuels, les organisations doivent s’assurer que leur réseau est solide et protégé contre les violations des données. Pour ce faire, Il est important d’utiliser une architecture de test qui peut simuler avec précision un réseau en produisant du trafic qui intègre à la fois des informations personnelles mais aussi des logiciels malveillants provenant de diverses zones géographiques. Cela permet d’évaluer que les solutions de sécurité mises en place arrêtent les menaces mais autorisent un trafic valide.

En conclusion, avec une architecture de visibilité appropriée qui leur permet de :

• suivre les données sensibles en temps réel

• surveiller le trafic chiffré pour les données sensibles

• identifier et masquer les données des personnes identifiables

… à travers les environnements locaux et cloud, les organisations créeront une base solide pour se conformer aux exigences de la GDPR.

Expert – Mise en conformité à la GDPR : la visibilité, un prérequis
Notez cet article

Laisser un commentaire

GDPR VS ISO

L’apport de la gestion des accès à privilèges (PAM) à la conformité réglementaire.Une cartographie comparative. Lire le livre blanc

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • APPLE DOIT CHANGER SA POLITIQUE COMMERCIALE, SELON L'ASSOCIATION DE CONSOMMATEURS HOP

    (AFP) -interview de Samuel Sauvage, président et co-fondateur de l'association HOP (Halte à l'obsolescence programmée),…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - "La méthode CRISP, une solution pour réussir vos projets Big Data", Alianor Sibai, mc2i Groupe

    Seuls 15% des projets Big Data atteindraient la phase d’industrialisation. Les raisons principales de cet échec…

    > En savoir plus...
Etudes/Enquêtes
  • Automatisation, numérisation et emploi : l’impact sur le travail

    Le Conseil d’orientation pour l’emploi (COE) vient d’adopter un nouveau rapport sur les conséquences de…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Primobox_Demat RH_skycraper 1
Agenda
livres blancs
Les Livres
Blancs
Ixia_RGPD_skycraper