Sécurité < 5 min

Webinar sécurité et RGPD
Renforcez la sécurité informatique de votre entreprise

La RGPD fait partie intégrante des stratégies de sécurisation des entreprises d'aujourd'hui. La réglementation mise en place contient de nombreux volets que vous devez maitriser pour répondre aux différents critères d'éligibilité.
Pour vous aider concrètement à avancer sur votre mise en conformité, nos experts Sécurité et Réseaux vont vous prodiguer leurs conseils avisés pour vous aider dans cette démarche.

Webinar sécurité et RGPD

Partie 1 : la place de la RGPD dans la sécurisation de votre entreprise

Qu'est-ce qu'une donnée à caractère personnel ?

Définition :
Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»)
Personne physique identifiable = une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Pour protéger vos données personnelles en interne vous devez travailler conjointement avec :
Votre service informatique : votre D.S.I sera la personne la plus à même pour réaliser un audit de sécurité et identifier les points de vigilance. Vous pourrez ensuite adapter votre sécurité informatique.
Votre service juridique : vous devez identifier à partir de quel moment l'information que vous détenez atteint un seuil critique.
Cela ne s'arrête pas uniquement sur la donnée à caractère personnel. Vous devez sécuriser toutes les données de l'entreprise : RH, Comptabilité... Soit toutes les données qui ont de la valeur pour vous.

Les données que vous détenez disposent d'un niveau de criticité en fonction des informations qu'elles contiennent.
En effet les données disposant d'informations médicales par exemple seront beaucoup plus sensibles qu'une simple adresse mail. C'est cette notion de sensibilité de la donnée qui sera importante.

Qu'est-ce que le traitement d'une donnée ?

Définition :
Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel.

Types de traitement = la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

Il est important de notifier que lorsque vous faites du traitement massif prédictif de donnée personnelle vous êtes bien plus exposés à la RGPD que si vous stockez des données pour l'archivage dans un cadre légal.

Qu'est-ce que la RGPD ?

L'objectif de la RGPD est de Protéger les citoyens européens autour de leurs données personnelles.

Historiquement chaque pays européen avait ses propres lois sur le traitement de la donnée personnelle. En France nous avons la loi Informatique et Liberté de la CNIL qui protège l'utilisation de ces informations.
L'union européenne a choisi d'uniformiser l'ensemble de ces textes pour protéger les citoyens européens sur l'utilisation de leurs données, que cela s'applique aux pays européens ou étrangers, du moment que cela concerne les données d'un citoyen européen.

La tendance aujourd'hui était de numériser en grande quantité les données personnelles, que ce soit pour du marketing (marketing prédictif), le médical, réseaux sociaux... Mais cela ne suffit pas car il y a énormément d'informations qui ont une forte valeur pour les entreprises.

Le but est de s'assurer que les entreprises qui travaillent autour de la donnée personnelle le font convenablement et que le citoyen européen qui indirectement confie de la donnée à des entreprises tierces utilisent correctement ses informations pour que cela ne soit pas préjudiciable pour le citoyen.
Exemple :
Exploitation d'une donnée médicale sensible qui empêcherait l'accès à des services de santé car on est considéré comme une personne à risque suite à une fuite d'information.

Ce qu'il faut en retenir :
• RGPD pour Règlement Général sur la Protection des Données.
• Projet en discussion depuis 2009 et promulgué le 24 mai 2016 pour une applicabilité à partir du 25 mai 2018. Abroge la Directive 95/46/EC.
• Porte sur la protection des personnes au regard des traitements de données à caractère personnel réalisés et sur la circulation de ces données.

Les 9 points clés du RGPD

  • 1. Portée territoriale étendue :
    Pas seulement limitée aux entreprises établies dans l'Union Européenne
  • 2. Les sanctions plus élevées :
    Jusqu'à 20M d'€ ou 4% du chiffre d'affaires mondial (selon le montant le plus élevé)
  • 3. Responsabilisation et extension des responsabilités du responsable de traitement ainsi que des sous-traitants
  • 4. Extension de la définition des "données personnelles" (localisation, adresse IP, etc.)
  • 5. Introduction du droit à l'oubli et du droit à la portabilité des données
  • 6. Besoin d'un consentement explicite et non ambigu
  • 7. Notification des fuites de données sous 72h
  • 8. « Guichet unique »
    Interaction avec une seule autorité
  • 9. Règles concernant les transferts transfrontaliers (Règles Contraignantes d'Entreprise par exemple)

Panorama des thèmes phares du RGPD

Une phase d'audit est nécessaire avant toute volonté de mise en conformité pour cartographier où est stockée la donnée personnelle et quel est le risque si elle fuite.

Plus vos données sont sensibles et plus la nécessité de faire un PIA (Prevency Impact Assement) est nécessaire.
Cela permettra de faire une analyse de risque en cas de perte de la donnée, de connaitre les risques encourus, quel en sera l'impact, quel plan d'action mettre en place et quel niveau de sécurité développer face à ce risque.
La notion de sécurisation, au sens large, est importante.

Gestion
Risques Projets Crise
- Résiliation de Data Privacy Impact Assement (DPIA)

- Gestion des données sensibles (chiffrement, DLP...)
- Notions de data

- Protection By design et By defaut
- Obligation de notification des failles de sécurité

- Identification des risques suite affectation des données personnelles
Protection
Gouvernance Droit des personnes Sous-traitans
- Création de la fonction de Data Protectiob Officer

- Gouvernance dédiée à la protection des données

- Principe d'accountability

- Gestion du consentement

- Registre des traitements

- Accès

- Rectification

- Oubli

- Portabilité

- Opposition

- Limitation du traitement
- Responsabilités

- Contrats dédiés

- Réglementation hors Union Européenne

Les outils de la CNIL

Démarrer une démarche RGPD avec les outils d'aide proposé par la CNIL :

Partie 2 : Se poser les bonnes questions pour sa mise en conformité

Mise en conformité ou projet global ?

L'établissement d'action pour la mise en conformité de la RGPD et souvent un premier pas vers un projet de sécurisation globale de son entreprise.
Les « bonnes pratiques RGPD » seront bénéfiques pour toute votre société et chaque service qui la compose.

Sécurité périmétrique et analyse du flux internet

Les différents points abordés seront :

  • • Analyse / Catégorisation / Filtrage d'URLs
  • • Détection applicative
  • • Détection antimalware
  • • Détection de tentatives d'intrusion

Sécurité périmétrique - DMZ

Il est important de sécuriser les données accessibles de l'extérieur. Une personne inconnue ne devrait pas avoir accès à toutes les données suivant leurs niveaux de criticité.

Les sujets évoqués seront :

  • • Une zone cloisonnée appelée DMZ est-elle en place pour isoler les serveurs publiés sur internet du LAN ?
  • • Les ports ouverts sur internet sont-ils identifiés, limités et nécessaires ?
  • • Un filtre IPS stricte est-il en place sur le trafic entrant ? Voir un Web Application Firewall dans le cadre d'une application web ?

Cloisonnement du LAN

Il est impensable aujourd'hui que l'impact sur un poste se propage sur tout votre réseau.
Cela n'arrive que s'il n'y a pas de cloisonnement du LAN :

  • • Y a-t-il un cloisonnement strict entre les serveurs support de l'infrastructure et les autres serveurs et utilisateurs ?
  • • Y a-t-il un cloisonnement ou bien des règles de filtrage fines voir un IPS entre différents groupes d'utilisateurs (standard, VIP), entre les utilisateurs et les serveurs métiers, entre les groupes de serveurs métiers ou encore entre les sites ?

Authentification

C'est un point très important de la mise en conformité RGPD simple à mettre en place qui aura des impacts immédiats en terme de sécurité :

  • • Les utilisateurs arrivent-ils facilement à retenir leurs mots de passe sans l'écrire et à accéder aux différents services ?
  • • Les authentifications sont-elles centralisées ?
  • • Le nombre de mots de passe à connaitre est-il raisonnable ? Les utilisateurs qui ont la nécessité d'avoir beaucoup d'identifiants différents ont-ils un gestionnaire de mot de passe robuste ?
  • • Les services critiques et les accès externes disposent-ils d'une authentification forte ?
  • • Les anciens utilisateurs sont-ils désactivés ?

Mises à jour

Les éditeurs sortent des mises à jours en continu pour faire face à toutes les failles de sécurité possible.
Vous devez effectuer impérativement ces mises à jour pour la RGPD. Si cette dernière est connue vous avez obligation de la faire sinon vous êtes considérés responsable des failles de sécurité et non conforme à la RGPD.

Faites un rapide audit de votre process :

  • • Y a-t-il une stratégie de mise à jour des systèmes d'exploitation (clients et serveurs) ?
  • • Tous les logiciels d'un système sont-ils maitrisés ?
  • • Y a-t-il une stratégie de mises à jour des logiciels ?
  • • Les logiciels ne pouvant pas être mis à jour et comportant des vulnérabilités sont-ils connus et y a-t-il une stratégie de minimisation du risque ?

Antivirus

Solution de sécurisation du poste de travail :

  • • Les postes de travail et les serveurs sont-ils protégés contre les codes malveillants connus ?
  • • La solution déployée dispose-t-elle d'une suite d'outils de sécurité renforçant son efficacité au-delà de la base de signatures connues ?
  • • Une console de gestion centralisée permet-elle le déploiement de stratégie de sécurité et autres fonctions avancées (audit, monitoring, déploiement de mises à jour, etc.) ?

Chiffrement

  • • Tous les périphériques nomades embarquant potentiellement des données ou identifiants de l'entreprise sont-ils chiffrés ?
  • • Les accès distants sont-ils chiffrés ?
  • • Les accès métiers de l'entreprise sont-ils chiffrés ?

Autres points abordés

  • • Sauvegarde
  • • Plan de Reprise d'activité
  • • BYOD
  • • Politique de sécurité
  • • Sensibilisation des utilisateurs
  • • Gestion des prestataires

Conclusion

La mise en conformité à la RGPD nécessite un audit préalable de votre système d'information. Les actions qui en découleront seront nécessaire pour la sécurisation globale de votre entreprise.
N'oubliez pas que vous-même vous êtes un citoyen européen et que vous souhaitez surement que vos données soient conservées correctement afin qu'elles ne soient pas utilisées à mauvais escient.

Faites l'audit de votre système d'information en quelques minutes >>

Pour vous aider dans cette démarche de sécurisation, nos experts sécurité et réseaux vous proposent leur service afin de vous faire bénéficier de leur conseil et expertise.
Vous avez un projet RGPD ? Contactez-nous !

Alix - Infrastructure

Par Alix

Expert Infrastructure et SI

Tout projet Infrastructure est un projet unique. Je serai là pour vous accompagner à chaque étape afin de créer ensemble une Infrastructure parfaitement adaptée à vos besoins métiers.

Les articles qui peuvent vous interesser

POUR SUIVRE TOUTES NOS FICHES CONSEILS

Pour être au courant des derniers conseils de nos experts, inscrivez-vous à notre newsletter spéciale contenu.