Accueil Sécurité RGPD : des outils accessibles aux petites structures

Sécurité RGPD : des outils accessibles aux petites structures

Sécurité des données, des outils gratuits

Les petites structures peuvent faciliter leur mise en conformité RGPD à l’aide d’outils simples, gratuits parfois, et déjà installés sur leurs ordinateurs. Voici cinq étapes et autant de solutions gratuites pour se mettre sur la bonne voie.

Pour les petites entreprises, le nouveau règlement européen sur la protection des données personnelles peut sembler un obstacle infranchissable. Car bien qu’elles soient dispensées de tenir les fameux registres des traitements en dessous de 250 salariés (à quelques exceptions près), elles n’en demeurent pas moins responsables en cas de fuite de données personnelles. Elles doivent donc, elles aussi, prendre les mesures nécessaires pour protéger leurs données et tenter de prouver leur bonne foi si le pire devait arriver.

Mais que faire lorsqu’on ne dispose ni d’un budget extensible ni d’un spécialiste du sujet en interne ? Au-delà des nécessaires procédures organisationnelles, quels outils mettre en place pour amorcer une démarche RGPD ?

Parmi les nombreuses obligations imposées par le RGPD, on peut en extraire cinq concernant la donnée traitée par l’entreprise :

  • Cartographier : savoir où sont traitées et stockées les données
  • Protéger : en réserver l’accès aux utilisateurs autorisés, pour des tâches légitimes
  • Contrôler l’accès : corolaire essentiel du point précédent
  • Journaliser : afin d’être en mesure de prouver sa bonne foi
  • Détruire : une donnée détruite est une donnée que l’on ne pourra pas vous dérober !

Ce « cycle de vie » de la donnée permet d’identifier 5 outils qui, à chaque étape, permettront de répondre a minima à l’impératif technique. Et la bonne nouvelle, c’est qu’il s’agit d’outils proposés gratuitement par Microsoft et parfois même déjà installés chez la plupart des petites structures. Seule option payante, l’annuaire Active Directory, qui coûtera quelques euros par mois et par utilisateur.

Enfin, le déploiement de ces outils pourra être réalisé par n’importe quel intégrateur certifié Microsoft.

1 Cartographier

Objectif
Savoir précisément où se trouvent les données traitées par l’entreprise (serveurs, partages, disques durs personnels).

Outils
Les outils de classification de données sont malheureusement souvent l’apanage des grandes entreprises dans le cadre de projets de conformité ou de prévention des fuites de données (DLP). Mais il existe une alternative.

• Le kit de classification des données de Microsoft (gratuit)
Microsoft propose un kit de classification des données capable d’explorer des partages et des serveurs de fichiers (sous Windows) et de rechercher des formats de données prédéfinis (numéro de carte de paiement, par exemple).
https://www.microsoft.com/en-eg/download/details.aspx?id=27123

Des instructions pas-à-pas et de nombreuses ressources aideront à mettre en place un programme de classification des données à partir des politiques de groupe Active Directory.
https://docs.microsoft.com/en-us/windows-server/identity/solution-guides/deploy-automatic-file-classification–demonstration-steps-

Ces instructions pourront être suivies sans mal par un responsable informatique à l’aise avec l’environnement Windows et Active Directory, ou confiées à l’exploitant habituel.

 

2 Protéger

Objectif
Interdire l’usage de la donnée aux utilisateurs illégitimes.

Outils
L’approche principale pour protéger la donnée sera ici celle du chiffrement, sur les postes de travail comme sur les serveurs de fichiers.

Microsoft BiltLocker (gratuit)
Les éditions pro et entreprise de Windows offrent toutes la capacité de chiffrer des disques durs, des dossiers et des fichiers (depuis Windows 2008 pour la version serveur, et depuis Vista pour les postes de travail).

Il conviendra de chiffrer au moins les disques dur des postes de travail (et en particulier mobiles). Pour cela, il suffit d’activer BitLocker en se rendant dans l’explorateur de fichiers et en faisant un clic droit sur le disque dur à chiffrer, option « Activer Bitlocker ».

Il sera possible également de chiffrer les serveurs de fichiers, en combinant Bitlocker avec des droits gérés en central par un service Active Directory, ce qui élève sérieusement le niveau de sécurité d’une petite entreprise habituée à stocker ses fichiers sans véritable stratégie.

Attention toutefois à la gestion des clés de chiffrement !
Ce programme de chiffrement protège les données d’accès non autorisés

 

3 Contrôler l’accès (gratuit/commercial)

Objectif
S’assurer que seul les utilisateurs autorisés accèdent aux systèmes qui traitent la donnée à protéger.

Outils
Si Windows propose déjà, bien entendu, des mécanismes de contrôle d’accès, ceux-ci gagnent à être renforcés par l’ajout d’un second facteur, qu’il soit physique (une petit calculatrice qui donne un code éphémère, une clé USB, de la biométrie) ou virtuels (une application mobile ou la réception d’un code SMS). Cela permet d’éviter, entre autre, les mots de passe volés ou prêtés.

De nombreux outils existent déjà sur le marché, mais Microsoft propose, de manière standard, un programme MFA (authentification à plusieurs facteur) baptisé Windows Hello for Business, appuyé sur Azure Active Directory ou complété localement par un serveur dédié MFA Server.

Cela permet d’utiliser un second facteur de type code PIN envoyé par SMS ou même la biométrie afin de compléter le mot de passe pour se connecter à Windows.

Les licences Azure MFA sont incluses dans les forfaits Azure Active Directory Premium (5€ / mois / utilisateur, voir encadré), ce qui encourage à souscrire à une telle offre si l’entreprise ne bénéficie pas encore de son propre serveur Active Directory.

> Création d’un PIN en place d’un mot de passe avec Windows Hello

Intégrer un serveur Active Directory permettra de faire d’une pierre deux coups, en reprenant le contrôle des postes de travail grâce au déploiement de politiques de sécurité globales (GPO, qui permettent également de mettre en place une bonne politique de gestion des mots de passe traditionnels – un autre point crucial dans la politique d’accès) et en renforçant son authentification à l’aide d’Azure MFA.
https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-licensing

 

4 Journaliser

Objectif
Garder la trace des actions prises sur les équipements informatiques et être en mesure de documenter, le cas échéant, les événements ayant conduits à une faute de conformité. Il s’agit d’ailleurs de l’un des piliers du RGPD.

Outils
Avec son Journal d’Evènements, Windows intègre par défaut une solution de journalisation très puissante. Elle est toutefois rarement mise à profit au sein des petites structures, car elles ignorent son existence le plus souvent.

La journalisation est pourtant essentielle : il est impératif de savoir dire a posteriori quelles actions ont été réalisées sur un poste de travail (connexion, déconnexion, changement d’utilisateurs, accès à des ressources diverses) ou celles qui ont échoué (mot de passe erroné).

L’activation du Journal d’Evènements est particulièrement simple, et bien sûr à la portée de tout prestataire IT certifié Microsoft.
https://technet.microsoft.com/fr-fr/library/dd491963.aspx

Le plus important est, bien entendu, de décider de ce qui devra être journalisé. Mais même pour cela, l’éditeur propose sa documentation.
https://technet.microsoft.com/en-us/library/dd277403.aspx

 

5 Détruire

Objectif
Détruire les données qui ne sont plus nécessaires de manière fiable et documentée est un autre des points essentiel du RGPD. L’entreprise pourra démontrer sa bonne foi en mettant en place un plan d’effacement régulier, avec les outils adéquats.

Outils
•  Microsoft propose gratuitement l’outil SDelete, issu de la célèbre panoplie Sysinternals. Celui-ci permet d’effacer des fichiers de manière sécurisée (non récupérables), mais aussi de s’assurer que ceux effacés de manière traditionnelle ne puissent être retrouvés.
https://docs.microsoft.com/en-us/sysinternals/downloads/sdelete

 

Active Directory
pour 6 € par mois et par utilisateur

Un annuaire Active Directory est une pièce essentielle dans un environnement Windows, et il s’avère nécessaire pour exploiter au mieux certains outils gratuits que nous proposons ici.

L’annuaire offre de nombreuses facilités en termes de sécurité (gestion des droits et de l’accès aux ressources, notamment) dont il serait dommage de se priver.

Les petites entreprises qui pouvaient jusqu’à présent rechigner à déployer une telle solution en interne pourront désormais se tourner vers l’offre Cloud Azure AD. Celle-ci permet de bénéficier des services de l’annuaire pour environ 5 € par utilisateur et par mois pour l’offre premium (conseillée ici car elle inclut l’authentification Windows renforcée).