En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Prestation de maintenance informatique pour une fondation créée en 1930
    A déterminer €
    > En savoir plus
  • Création d'un site catalogue pour une association
    < 1 000 €
    > En savoir plus
  • Création d'un site e-commerce pour un coach sportif
    < 1800 €
    > En savoir plus
Innovaphone_AnywhereWorkplace_leaderboard

Expert – Mise en conformité à la GDPR : la visibilité, un prérequis

Global Knowledge_Docker_pavé

Le nouveau règlement européen sur la protection des données impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité, explique ici Stephane Johnson, VP Sales EMEA South and Central chez Ixia.

Le 25 mai 2018, le Règlement européen Général sur la Protection des Données (GDPR) va s’appliquer à tous les pays membres de l’Union Européenne. À cette date, les organisations ressortissantes devront avoir pleinement mis en œuvre les mesures nécessaires pour s’y conformer au risque de se voir infliger des sanctions.

La GDPR, s’appliquant à la fois la sécurité et la visibilité, va impacter la plupart des entreprises en deux points. D’abord, les entreprises européennes, ou travaillant avec des résidents de l’UE devront veiller à ce que le traitement des données personnelles, stockées ou en circulation, soit conforme avec la nouvelle réglementation. Ensuite, elles devront garantir que celles-ci ne puissent être envoyées vers un pays hors UE, susceptibles d’avoir des normes de sécurité plus faibles.

La mise en application de la GDPR aura donc une incidence sur la façon d’organiser les données personnelles (recueil, enregistrement, stockage), ainsi que sur leurs modalités de partage. La définition de « données personnelles » retenue par la GDPR est large et comprend toutes les données privées ou professionnelles, y compris les noms, adresses, photos, adresses électroniques, coordonnées bancaires, publications sur les réseaux sociaux, informations médicales et même l’adresse IP. Il s’agit donc d’un règlement à multiples facettes qui impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité.

Voici quelques conseils pour les améliorer.

Visibilité – et invisibilité – des données

Pour savoir à quel pays les données sont envoyées, les organisations ont besoin de s’appuyer sur une architecture réseau conçue pour accroitre la visibilité, et qui délivre en temps réel une vision du flux de données qui y circule. Ils doivent également savoir si ces données sont cryptées ou non, et si elles ne le sont pas, s’assurer qu’elles soient « pseudonymisées ».

Cependant, le fait de considérer les adresses IP comme des données personnelles complique les choses et inverse les approches traditionnelles en matière de visibilité. En effet, au lieu d’ouvrir le réseau à une analyse approfondie des données via des outils de plus en plus puissants, la GDPR exige que le flux de données personnelles confidentielles soit restreint. Par conséquent, les organisations ont besoin d’une architecture de visibilité capable de protéger les adresses IP.

L’une des options consiste donc à déployer des outils utilisant le masquage des données. Initialement développés pour sécuriser les informations d’identification personnelle, ces outils s’avèrent particulièrement adaptés à la mise en conformité à la GDPR. Le principe est qu’un administrateur peut définir lui-même le masquage des données en fonction de leur nature (carte de crédit, adresse IP…)

Le masquage des données est aussi lié également au Secure Socket Layer (SSL), que de nombreuses organisations utilisent pour des raisons de sécurité, et notamment l’identification des menaces dans les charges utiles malveillantes. Une fois la charge utile déchiffrée, toute donnée sensible peut être masquée afin de faciliter la conformité.

Les organisations hors UE qui traitent des données appartenant à des citoyens de l’UE doivent, elles aussi, offrir une protection équivalente et par conséquent déployer des processus et des technologies pour se conformer à la GDPR. Puisqu’il est difficile de séparer les données les unes des autres, la géolocalisation des données utilisateur est un élément essentiel à mettre en place pour identifier le trafic provenant de l’UE.

Les enjeux liés à l’environnement Cloud

Au-delà du stockage en local, les environnements cloud apportent eux aussi de nouvelles problématiques. Si une organisation traite des données personnelles en utilisant les deux méthodes simultanément, le cryptage des données entre les deux infrastructures est essentiel.

Les déploiements sur un cloud privé nécessitent quant à eux des architectures capables d’exploiter, surveiller et orienter le trafic vers un Network Packet Broker (NPB), tout en garantissant le même masquage des données et l’identification de la géolocalisation que sur un réseau physique.

En ce qui concerne le cloud public, les organisations doivent demander à leur fournisseur la garantie que le service est conforme à la GDPR, et s’il fait partie de l’initiative Cloud Infrastructure Services Providers en Europe (CISPE). Cette dernière est une association de plus de 20 fournisseurs de services cloud internationaux et basés en UE qui ont développé une charte de protection des données qui peut devenir un cadre pour la conformité GDPR.

Toutefois, il est à noter que la responsabilité d’assurer la conformité à la GDPR incombe à l’organisation et ne peut en aucun cas être laissée au seul fournisseur de services.

Mettre son réseau à l’épreuve

En plus d’avoir une visibilité sur les réseaux physiques et virtuels, les organisations doivent s’assurer que leur réseau est solide et protégé contre les violations des données. Pour ce faire, Il est important d’utiliser une architecture de test qui peut simuler avec précision un réseau en produisant du trafic qui intègre à la fois des informations personnelles mais aussi des logiciels malveillants provenant de diverses zones géographiques. Cela permet d’évaluer que les solutions de sécurité mises en place arrêtent les menaces mais autorisent un trafic valide.

En conclusion, avec une architecture de visibilité appropriée qui leur permet de :

• suivre les données sensibles en temps réel

• surveiller le trafic chiffré pour les données sensibles

• identifier et masquer les données des personnes identifiables

… à travers les environnements locaux et cloud, les organisations créeront une base solide pour se conformer aux exigences de la GDPR.

Expert – Mise en conformité à la GDPR : la visibilité, un prérequis
Notez cet article

Laisser un commentaire

SOLUTIONS DATACOM ET RÉSEAUX POUR UN MONDE CONNECTÉ

Capacité de traitement supérieure, meilleur rendement, encombrement limité et frais d’exploitation réduits : atteignez tous vos objectifs avec les solutions de datacenter modulaires de SCHROFF

Plus d’informations

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

  • Juridique : Les 5 réflexes du DPO

        Garance Mathias, Avocat à la Cour     L’entrée en application du règlement…

Témoignages
Juridique
  •  Amende record de l'UE : la contre-offensive judiciaire de Google

    Google a lancé une contre-offensive envers la Commission européenne en déposant un recours contre l'amende…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Cybermenace : "L’hameçonnage franchit un cap avec le détournement d'email", Alexandre Delcayre, Palo Alto

    Alexandre Delcayre, directeur Systems Engineering Europe du Sud, Russie, Israël, et l'Unit42, l'unité de recherches…

    > En savoir plus...
Etudes/Enquêtes
  • Cyberattaques : les pertes des entreprises françaises en hausse de 50 % en un an (PwC)

    Les entreprises françaises ont vu leurs pertes financières liées aux cyberattaques augmenter de 50 %…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Systancia_keynote nov_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Usages et technologies : concrétisez la transformation digitale de votre métier

    > Voir le livre
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
GlobalK_Azure _Skycraper