En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Développement d'une plateforme de mise en relation pour un assembleur de compétences au service des commerçants
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de bijoux et vêtements
    < 3 000 €
    > En savoir plus
  • Evolution de l'outil Topaze pour une université
    A déterminer €
    > En savoir plus
Ixia_RGPD_leaderboard

RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?

Tessi_Cetia_pave

Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec le Règlement général sur la protection des données (RGPD), de plus en plus d’entreprises s’efforcent surtout de se donner les moyens de satisfaire aux exigences énoncées dans ce document. Raphael Bousquet, VP Europe du Sud et Russie chez Palo Alto Network, vous donne des pistes pour vérifier que vous tirez le meilleur parti des éléments déjà en votre possession

Notre dernière étude révélait qu’en France, 60 % des responsables IT espèrent un impact positif sur leur entreprise suite à l’introduction des nouvelles réglementation (ils sont 68 % en Allemagne et 63 % au Royaume-Uni). Pourtant, en France, 52 % des professionnels de la sécurité informatique (contre 65 % au Royaume-Uni) estiment que l’entrée en application du RGPD et de la Directive NIS sera compliquée, tant d’un point de vue financier qu’opérationnel.

Bien trop souvent, les décideurs partent du principe que des investissements supplémentaires s’imposent, ce qui n’est pas entièrement faux ; pour autant, vous devez également remettre en question l’organisation de votre entreprise en vous efforçant de tirer le meilleur parti des atouts déjà en votre possession.

De même, il semblerait que nombre de décideurs font des outils de prévention contre les fuites de données (DLP) et de chiffrement des éléments indispensables à la protection des données. Or, pour avoir travaillé, plusieurs années durant, avec ces deux catégories d’outils à des stades antérieurs de mon parcours professionnel, je tiens à souligner que, comme toute fonctionnalité, ceux-ci posent des difficultés de mise en œuvre bien spécifiques. Souvent, des technologies adjacentes peuvent contribuer à réduire l’ampleur de ces difficultés et les coûts induits. Pour les aborder toutes, il faudrait un blogue gigantesque ; je me contenterai par conséquent de n’en sélectionner que quelques-unes, dans l’unique but de stimuler votre réflexion créatrice et de vous accompagner sur votre parcours RGPD.

Votre pare-feu peut vous faciliter la tâche

J’insisterai d’abord sur le rôle primordial de votre pare-feu, qui peut vous faciliter la tâche tout en allégeant la facture induite par une meilleure sécurisation du cycle de vie des informations nominatives. Comment vérifier que vous tirez le meilleur parti des éléments déjà en votre possession et, si ce n’est par son biais, mieux articuler des processus de sécurité dont la mise en œuvre relève, aujourd’hui, parfois de la responsabilité de différentes équipes dans l’entreprise ?

Bien trop souvent, le premier réflexe, en matière de gestion du cycle de vie des données nominatives, consiste à tenter d’opérer un classement des données – une tâche qui risque de s’éterniser puisque chaque jour, nous générons de nouvelles données ou de nouvelles déclinaisons de celles existantes. Le but visé consiste à démêler cette masse de données non structurées.

Il faut qu’un changement de mentalité s’opère ; l’objectif n’est plus de tenter de définir l’endroit où se trouvent vos données nominatives, mais plutôt de définir – et d’appliquer – celui qu’elles peuvent et doivent occuper. Ce faisant, vous réduisez le périmètre d’application des contrôles DLP ultérieurs.

La plupart des entreprises exercent d’ores et déjà un droit de regard sur les données nominatives au sein des processus métier. Concrètement, peuvent figurer parmi eux des outils de gestion de la relation client (CRM), des mécanismes de veille sur les menaces englobant parfois des données nominatives, et des systèmes RH. Pour autant, il existe souvent un énorme décalage entre l’emplacement où sont stockées les données structurées et celui où elles sont supposées résider. Parvenir à définir précisément leur emplacement vous permettra de cerner les points où elles se muent en données non structurées.

Si vous faites appel à d’excellents pare-feu applicatifs (opérant au niveau 7 du modèle OSI) dans votre entreprise, vous pouvez vous en servir pour cartographier l’utilisation de vos applications en temps réel. Vous pourrez ainsi repérer celles qui interagissent les unes avec les autres, celles qui communiquent en dehors de l’entreprise, et connaître l’identité des utilisateurs qui se livrent à cet exercice et dans quel volume.

L’objectif principal, ici, est de raisonner selon le modèle « Zéro confiance » : être capable de segmenter les données nominatives de votre entreprise – et de réduire ainsi leur marge de manœuvre – au moment où elles deviennent des données non structurées et, surtout, de réduire le périmètre de la zone à sécuriser. De même, cette visibilité peut vous aider à définir les points où un chiffrement s’impose, et ceux où les données ne doivent jamais résider ni être accessibles.

Abordons à présent la pierre angulaire de la gestion des données nominatives : un pare-feu applicatif de bonne facture assurera un filtrage des contenus. Si vous disposez d’une solution DLP assurant le balisage des données, votre pare-feu doit aussi être capable de mettre à profit les balises ainsi insérées. Peut-être vous interrogez-vous sur l’utilité de cette fonction ; de par sa capacité à inspecter le trafic crypté, votre pare-feu peut rendre accessibles des données que la solution DLP serait sans cela incapable d’analyser. De même, en fonction de votre configuration, peut-être pouvez-vous tirer parti de votre pare-feu afin de disposer de davantage de points de contrôle si vous l’avez utilisé pour segmenter le trafic système de votre entreprise.

Si vous ne disposez pas d’outil DLP, mais entendez contrôler l’application de vos flux de données nominatives, là encore, un pare-feu applicatif sera susceptible d’opérer un filtrage des contenus. Sans être aussi sophistiqués que ceux proposés par les outils DLP, la plupart vous permettront de rechercher des expressions ordinaires (mots, formes de structure courante de type données de carte bancaire, etc.) dans des types de fichiers universels ; cette version édulcorée suffira, dans certains cas, à cartographier et contrôler l’utilisation des données.

Que faut-il donc retenir ?

Exploiter l’existant jusqu’au-boutiste permet parfois de résoudre un problème. La prévention contre les fuites de données et le chiffrement sont essentiels à la gestion du cycle de vie des données nominatives. Néanmoins, tous deux peuvent s’avérer onéreux tant en termes de dépenses d’investissement (Capex) que de dépenses d’exploitation (Opex). Vous pouvez recourir à d’autres outils et processus pour réduire votre dépendance à leur égard.

Le RGPD est une rare occasion de prendre un peu de recul. Il est intéressant de constater le nombre d’entreprises qui, en investissant dans une technologie de pointe comme un pare-feu de nouvelle génération, se donnent les moyens de réaliser toutes ces choses, mais qui persistent néanmoins à s’en servir comme du pare-feu qui, depuis 20 ans, filtre les paquets en opérant au niveau de la couche 3 du modèle OSI (couche réseau).

Avant de gaspiller davantage un précieux budget, remettez-vous en question, vous et votre entreprise, par rapport à ce que vous possédez déjà. Prenez soin de cerner les fonctionnalités de base, ainsi que les composants supplémentaires. Définissez-les dans les grandes lignes, puis réfléchissez à la manière dont ils pourraient simplifier vos processus pour en réduire l’envergure. En l’occurrence, si l’analyse de la segmentation de votre trafic ou l’adoption d’un modèle « Zéro confiance » ne sont pas expressément réclamées par le RGPD, elles sont en adéquation avec la notion de meilleures pratiques en l’état actuel des connaissances et, surtout, les dispositifs susceptibles de réduire la prolifération de vos données nominatives. Concrètement, leur sécurisation posera moins de problèmes, et votre entreprise courra moins de risques.

RGPD : à huit mois de la date-butoir, tirez-vous le meilleur parti des atouts déjà en votre possession ?
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • APPLE DOIT CHANGER SA POLITIQUE COMMERCIALE, SELON L'ASSOCIATION DE CONSOMMATEURS HOP

    (AFP) -interview de Samuel Sauvage, président et co-fondateur de l'association HOP (Halte à l'obsolescence programmée),…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Failles Meltdown et Spectre : "Des erreurs graves dans les composants électroniques", selon Hervé Schauer, expert en cybersécurité

    Lorsque nous avons publié notre enquête à la mi-décembre sur les failles découvertes dans les…

    > En savoir plus...
Etudes/Enquêtes
  • Applications choisies par les salariés = productivité en hausse

    Laisser les employés utiliser plus largement les applications de leur choix accroît leur productivité, selon…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

banniere_FIC2018_skycrapper
Agenda
livres blancs
Les Livres
Blancs
  • Adopter un Plan de Continuité d’Activité (PCA)

    > Voir le livre
  • Préparation au règlement général sur la protection des données (RGPD)

    > Voir le livre
Ixia_RGPD_skycraper