En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
  • Installation, paramétrage d'un serveur pour une société de chauffage
    A déterminer €
    > En savoir plus
  • Création d'un site E-commerce pour une association
    < 1 000 €
    > En savoir plus
  • Refonte graphique d'un site internet WooCommerce
    A déterminer €
    > En savoir plus
elo_processus pointe_leaderboard

RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?

Systancia_keynote nov_pave

Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec le Règlement général sur la protection des données (RGPD), de plus en plus d’entreprises s’efforcent surtout de se donner les moyens de satisfaire aux exigences énoncées dans ce document. Raphael Bousquet, VP Europe du Sud et Russie chez Palo Alto Network, vous donne des pistes pour vérifier que vous tirez le meilleur parti des éléments déjà en votre possession

Notre dernière étude révélait qu’en France, 60 % des responsables IT espèrent un impact positif sur leur entreprise suite à l’introduction des nouvelles réglementation (ils sont 68 % en Allemagne et 63 % au Royaume-Uni). Pourtant, en France, 52 % des professionnels de la sécurité informatique (contre 65 % au Royaume-Uni) estiment que l’entrée en application du RGPD et de la Directive NIS sera compliquée, tant d’un point de vue financier qu’opérationnel.

Bien trop souvent, les décideurs partent du principe que des investissements supplémentaires s’imposent, ce qui n’est pas entièrement faux ; pour autant, vous devez également remettre en question l’organisation de votre entreprise en vous efforçant de tirer le meilleur parti des atouts déjà en votre possession.

De même, il semblerait que nombre de décideurs font des outils de prévention contre les fuites de données (DLP) et de chiffrement des éléments indispensables à la protection des données. Or, pour avoir travaillé, plusieurs années durant, avec ces deux catégories d’outils à des stades antérieurs de mon parcours professionnel, je tiens à souligner que, comme toute fonctionnalité, ceux-ci posent des difficultés de mise en œuvre bien spécifiques. Souvent, des technologies adjacentes peuvent contribuer à réduire l’ampleur de ces difficultés et les coûts induits. Pour les aborder toutes, il faudrait un blogue gigantesque ; je me contenterai par conséquent de n’en sélectionner que quelques-unes, dans l’unique but de stimuler votre réflexion créatrice et de vous accompagner sur votre parcours RGPD.

Votre pare-feu peut vous faciliter la tâche

J’insisterai d’abord sur le rôle primordial de votre pare-feu, qui peut vous faciliter la tâche tout en allégeant la facture induite par une meilleure sécurisation du cycle de vie des informations nominatives. Comment vérifier que vous tirez le meilleur parti des éléments déjà en votre possession et, si ce n’est par son biais, mieux articuler des processus de sécurité dont la mise en œuvre relève, aujourd’hui, parfois de la responsabilité de différentes équipes dans l’entreprise ?

Bien trop souvent, le premier réflexe, en matière de gestion du cycle de vie des données nominatives, consiste à tenter d’opérer un classement des données – une tâche qui risque de s’éterniser puisque chaque jour, nous générons de nouvelles données ou de nouvelles déclinaisons de celles existantes. Le but visé consiste à démêler cette masse de données non structurées.

Il faut qu’un changement de mentalité s’opère ; l’objectif n’est plus de tenter de définir l’endroit où se trouvent vos données nominatives, mais plutôt de définir – et d’appliquer – celui qu’elles peuvent et doivent occuper. Ce faisant, vous réduisez le périmètre d’application des contrôles DLP ultérieurs.

La plupart des entreprises exercent d’ores et déjà un droit de regard sur les données nominatives au sein des processus métier. Concrètement, peuvent figurer parmi eux des outils de gestion de la relation client (CRM), des mécanismes de veille sur les menaces englobant parfois des données nominatives, et des systèmes RH. Pour autant, il existe souvent un énorme décalage entre l’emplacement où sont stockées les données structurées et celui où elles sont supposées résider. Parvenir à définir précisément leur emplacement vous permettra de cerner les points où elles se muent en données non structurées.

Si vous faites appel à d’excellents pare-feu applicatifs (opérant au niveau 7 du modèle OSI) dans votre entreprise, vous pouvez vous en servir pour cartographier l’utilisation de vos applications en temps réel. Vous pourrez ainsi repérer celles qui interagissent les unes avec les autres, celles qui communiquent en dehors de l’entreprise, et connaître l’identité des utilisateurs qui se livrent à cet exercice et dans quel volume.

L’objectif principal, ici, est de raisonner selon le modèle « Zéro confiance » : être capable de segmenter les données nominatives de votre entreprise – et de réduire ainsi leur marge de manœuvre – au moment où elles deviennent des données non structurées et, surtout, de réduire le périmètre de la zone à sécuriser. De même, cette visibilité peut vous aider à définir les points où un chiffrement s’impose, et ceux où les données ne doivent jamais résider ni être accessibles.

Abordons à présent la pierre angulaire de la gestion des données nominatives : un pare-feu applicatif de bonne facture assurera un filtrage des contenus. Si vous disposez d’une solution DLP assurant le balisage des données, votre pare-feu doit aussi être capable de mettre à profit les balises ainsi insérées. Peut-être vous interrogez-vous sur l’utilité de cette fonction ; de par sa capacité à inspecter le trafic crypté, votre pare-feu peut rendre accessibles des données que la solution DLP serait sans cela incapable d’analyser. De même, en fonction de votre configuration, peut-être pouvez-vous tirer parti de votre pare-feu afin de disposer de davantage de points de contrôle si vous l’avez utilisé pour segmenter le trafic système de votre entreprise.

Si vous ne disposez pas d’outil DLP, mais entendez contrôler l’application de vos flux de données nominatives, là encore, un pare-feu applicatif sera susceptible d’opérer un filtrage des contenus. Sans être aussi sophistiqués que ceux proposés par les outils DLP, la plupart vous permettront de rechercher des expressions ordinaires (mots, formes de structure courante de type données de carte bancaire, etc.) dans des types de fichiers universels ; cette version édulcorée suffira, dans certains cas, à cartographier et contrôler l’utilisation des données.

Que faut-il donc retenir ?

Exploiter l’existant jusqu’au-boutiste permet parfois de résoudre un problème. La prévention contre les fuites de données et le chiffrement sont essentiels à la gestion du cycle de vie des données nominatives. Néanmoins, tous deux peuvent s’avérer onéreux tant en termes de dépenses d’investissement (Capex) que de dépenses d’exploitation (Opex). Vous pouvez recourir à d’autres outils et processus pour réduire votre dépendance à leur égard.

Le RGPD est une rare occasion de prendre un peu de recul. Il est intéressant de constater le nombre d’entreprises qui, en investissant dans une technologie de pointe comme un pare-feu de nouvelle génération, se donnent les moyens de réaliser toutes ces choses, mais qui persistent néanmoins à s’en servir comme du pare-feu qui, depuis 20 ans, filtre les paquets en opérant au niveau de la couche 3 du modèle OSI (couche réseau).

Avant de gaspiller davantage un précieux budget, remettez-vous en question, vous et votre entreprise, par rapport à ce que vous possédez déjà. Prenez soin de cerner les fonctionnalités de base, ainsi que les composants supplémentaires. Définissez-les dans les grandes lignes, puis réfléchissez à la manière dont ils pourraient simplifier vos processus pour en réduire l’envergure. En l’occurrence, si l’analyse de la segmentation de votre trafic ou l’adoption d’un modèle « Zéro confiance » ne sont pas expressément réclamées par le RGPD, elles sont en adéquation avec la notion de meilleures pratiques en l’état actuel des connaissances et, surtout, les dispositifs susceptibles de réduire la prolifération de vos données nominatives. Concrètement, leur sécurisation posera moins de problèmes, et votre entreprise courra moins de risques.

RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?
Notez cet article

Laisser un commentaire

Réinventer les processus à l’heure de la transformation numérique

Comment mettre en place une approche BPM -Collaboration IT / métier efficace –Retour d’expériences. Webinaire : mardi 28 novembre de 11h00 à 11h45, avec CXP Group.

Infos et inscription

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Les imprimantes sont-elles frappées d’obsolescence programmée ?

    Le 18 septembre dernier, l'association HOP (Halte à l'Obsolescence Programmée) a déposé une plainte contre…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Faille WAP2 : Krack ou l'hypocrisie mondiale des maîtres du monde

    Pour Frans Imbert-Vier, PDG d'UBCOM (société spécialisée sur le digital et la cybersécurité), si la…

    > En savoir plus...
Etudes/Enquêtes
  • Black Friday : "Nous prévoyons environ 5 à 8 millions d'attaques quotidiennes de tests d'identité", Vanita Pandey, Threatmetrix

    Les identifiants personnels récupérés partir des compromissions massives de données en 2017 laissent présager que Noël…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Systancia_keynote nov_skycrapper
Agenda
livres blancs
Les Livres
Blancs
elo_processus pointe_skyscraper