AllMise en conformité avec le Règlement général européen sur la protection des données
Mise en conformité avec le Règlement général européen sur la protection des données
Conformité et audit continus
Les responsables du traitement des
données doivent prouver leur conformité
au RGPD non pas mensuellement ou
annuellement, mais dès qu’un auditeur
en fait la demande.
Déclaration obligatoire des violations
Le RGPD définit la violation des données
comme toute action entraînant « de
manière accidentelle ou illicite, la
destruction, la perte, l’altération, la
divulgation non autorisée de données
à caractère personnel transmises,
conservées ou traitées d’une autre
manière, ou l’accès non autorisé à de
telles données ». Lorsqu’une violation
de données survient, le responsable du
traitement des données doit en informer
l’autorité de contrôle et toutes les
personnes concernées sous 72 heures.
L’information est donc rapidement connue
du public, ce qui peut entraîner des pertes
supplémentaires pour l’entreprise, au-delà
des amendes élevées requises par le RGPD.
Notez qu’une violation de sécurité
n’entraîne pas nécessairement une
violation de données. Par exemple,
des pirates peuvent parcourir le réseau
de votre entreprise sans parvenir à en
extraire de données, car il est chiffré ou
vos contrôles les empêchent d’obtenir les
droits d’accès nécessaires.
STRATÉGIES ESSENTIELLES
DE CONFORMITÉ
Les clés de la conformité au RGPD résident
dans une compréhension claire de la
portée des données sensibles gérées par
votre entreprise et dans la mise en œuvre
de processus appropriés de protection des
données et de suivi de leur utilisation. Nous
allons détailler les stratégies à mettre en
œuvre ci-dessous.
Il est important de noter que si les amendes
maximales exigibles dans le cadre de
violations de la conformité au RGPD
sont élevées, le montant de l’amende
effectivement demandé dépendra de
l’étendue de la violation et de la mesure
dans laquelle le responsable du traitement
des données a essayé de se conformer
à la législation. Ainsi, même si vous ne
parvenez pas à une conformité totale,
vous pouvez réduire le risque de pénalités
financières en faisant preuve d’efforts
significatifs en matière de conformité, en
détectant les violations sans délai et en
signalant rapidement leur survenue.
3
Inventoriez les données dont
vous disposez
La première étape de la conformité au
RGPD réside dans une vision claire des
données à caractère personnel que vous
traitez. La plupart des entreprises stockent
ces données dans plusieurs silos, souvent
sur site, sur divers appareils de stockage
et dans le Cloud. Les outils natifs ne
sont guère utiles, en particulier dans les
environnements informatiques complexes
et hétérogènes actuels.
Recherchez une solution capable de
collecter et stocker de façon centralisée
les données de systèmes et d’appareils
répartis dans toute l’entreprise. Vous
disposerez ainsi d’un inventaire précis de
vos données, mais pourrez également les
classer automatiquement selon leur degré
de sensibilité. Vous serez ainsi assuré de
protéger les diverses données considérées
comme des données à caractère personnel
dans le cadre du RGPD.
Gérez avec soin les accès aux données
à caractère personnel
Une gestion efficace des accès et identités
est essentielle pour la conformité au RGPD.
Vous devez gérer avec soin les identités
des utilisateurs à la base des accès, ainsi
que mettre en œuvre et appliquer un
modèle de moindre privilège qui garantit
que les utilisateurs n’ont accès qu’aux
ressources dont ils ont besoin pour
travailler. De plus, vous devez pouvoir
déterminer simplement qui a accès à quoi,
qui a approuvé cet accès et ce que chaque
utilisateur a fait de cet accès.
Recherchez une solution qui facilite la
gestion des identités des utilisateurs tout
au long du cycle de vie, pour que les
utilisateurs disposent automatiquement
des autorisations d’accès appropriées
à leur rôle dans votre entreprise et
seulement celles-ci. Assurez-vous que la
solution contrôle les accès sur l’intégralité
de l’environnement, non seulement sur
les systèmes Windows sur site, mais
également sur les systèmes Mac, UNIX,
Linux et basés sur le Cloud. Elle doit
également automatiser les workflows
d’attestation et de renouvellement
des certifications pour garantir que les
privilèges d’accès ne sont attribués qu’avec
les approbations appropriées et que leur
justification est régulièrement vérifiée. Par
exemple, un utilisateur qui change de rôle
au sein de l’entreprise ne doit pas conserver
ses accès plus longtemps que nécessaire.
Les clés de la
conformité au
RGPD résident dans
l’obtention d’une
compréhension claire
de la portée des
données sensibles
gérées par votre
entreprise et dans la
mise en œuvre de
processus appropriés
de protection des
données et de suivi
de leur utilisation.
Chiffrez les données autant que possible
Quest propose la
seule solution de
sécurité de bout
en bout qui protège
l’intégralité de
votre infrastructure
complexe, sur site
comme dans le Cloud.
Le RGPD encourage l’utilisation de
techniques telles que le chiffrement de
données et le hachage, qui transforment
les données à caractère personnel de sorte
qu’elles ne permettent plus d’identifier
directement une personne sans avoir
recours à des informations supplémentaires.
Après pseudonymisation, ces données sont
toujours considérées comme des données
à caractère personnel, mais de nombreuses
dispositions du RGPD sont plus souples les
concernant. Par exemple, les entreprises ne
sont pas toujours tenues de communiquer
sur les violations concernant des données
chiffrées peuvent être exemptées de
pénalité, car la perte de ces données n’a que
peu de risque d’avoir des conséquences
négatives. L’entreprise ne doit pas non plus
nécessairement permettre leur accès par
les personnes concernées, leur correction,
leur suppression et leur portabilité.
Bien évidemment, il n’est pas simple de
chiffrer toutes vos données. Recherchez une
solution capable de chiffrer vos données
sensibles sur l’ensemble de vos plateformes,
appareils et emplacements, notamment
les PC et les Mac, les appareils mobiles
iOS et Android, les magasins de données
dans le Cloud et les supports externes.
Cette solution doit être suffisamment
souple pour permettre le chiffrement de
toutes les données considérées comme
des données à caractère personnel par le
RGPD. Le moteur de chiffrement doit être
automatisé et non invasif pour pouvoir suivre
les besoins de l’entreprise sans nuire à la
productivité des salariés. Enfin, la solution
doit bien entendu générer des pistes
d’audit prouvant la sécurité des données
de bout en bout.
Surveillez les modifications susceptibles
d’affecter les données sensibles et évitez
les modifications les plus critiques
Évidemment, ces mesures préventives
ne constituent qu’une partie des actions
nécessaires à la mise en conformité avec
le RGPD. Vous devez suivre et auditer
l’activité des utilisateurs, en particulier
l’activité des comptes avec privilèges.
Vous devez par ailleurs suivre toutes les
modifications de votre environnement
susceptibles d’influer sur les accès aux
données à caractère personnel protégées,
telles que les modifications des stratégies
de groupes (GPOs) et les paramètres de
Analyser et
restaurer
Inventorier
en continu
Corriger et
atténuer
Détecter
et alerter
Figure 1. La solution de sécurité hybride de bout en bout Quest peut vous aider à vous
conformer au RGPD avant le 25 mai 2018.
4
Please complete the form to gain access to this content
