Robert Arandjelovic
Avec l’adoption du règlement général sur la protection des données (GDPR), les citoyens européens bénéficieront bientôt d’une protection cohérente sur l’ensemble de la région, et auront en outre davantage leur mot à dire quant au traitement de leurs données par des organisations privées. La question est de savoir ce que ces organisations doivent changer pour se conformer à cette nouvelle réglementation ?
Applicable à partir du 25 mai 2018, le GDPR établit des standards minimaux en matière de traitement, de sécurité et de partage des données personnelles des résidents de l’Union européenne. Compte tenu de l’étendue des changements nécessaires au niveau des individus, des processus et des technologies à moins de deux ans de la date fatidique, les entreprises les plus visionnaires ont déjà lancé leurs processus de mise en conformité.
Même le Brexit n’empêchera pas le GDPR de changer la façon dont les données sont contrôlées et sécurisées par les organisations britanniques. En effet, ce règlement concerne les données personnelles des citoyens européens et ne s’applique pas en fonction de la présence ou non d’une entreprise dans l’UE. En vertu de sa clause d’extra-territorialité, si vous vendez ou faites la publicité de produits ou services à 5 000 personnes dans la région, vous devrez en respecter les principes. En tout état de cause, le Royaume-Uni n’ayant toujours pas annoncé les modalités de sa sortie de l’Union, l’ensemble des réglementations européennes en vigueur continuent de s’appliquer.
Les changements prévus
Le GDPR harmonisera les réglementations en matière de protection des données dans l’ensemble de l’UE, remplaçant ainsi les dispositions nationales existantes des pays membres. Même si les normes appliquées seront en réalité bien moins rigoureuses pour la plupart d’entre eux et qu’elles nécessiteront la mise en place de nouvelles mesures dédiées au sein des organisations, cette cohérence devrait simplifier les activités des entreprises. Actuellement, celles-ci doivent maîtriser 28 différents programmes de protection. Le GDPR simplifiera considérablement tout cela, tout en permettant malgré tout à chaque pays membre d’établir des réglementations locales complétant la législation européenne.
Parmi les éléments clés de ces nouvelles règles figurent le « droit à l’oubli » ; l’obligation d’information en cas de fuite ; de nommer des responsables de la protection des données (DPO) ; d’avoir recours à des processus et technologies de protection des données pouvant être vérifiés ; ainsi que des amendes allant jusqu’à 4 % des chiffres d’affaires annuels des organisations, ou 20 millions d’euros maximum, en cas d’infraction grave.
Selon le cabinet d’analystes Ovum, 70 % des entreprises prévoient d’accroître leurs investissements afin de répondre aux exigences en matière de protection et de souveraineté des données. L’une de leurs principales motivations est le fait que tout manquement à cet égard à l’issue de la période de transition de deux ans aura des conséquences considérables pour les entreprises, dont le risque d’être régulièrement soumises à des audits de leurs systèmes de protection des données.
Comment se mettre en conformité ?
Les organisations se doivent de déployer des technologies et des procédures de pointe. L’accent doit être mis sur des architectures flexibles capables d’intégrer de nouvelles technologies, la définition de « de pointe » évoluant au fil du temps.
Les technologies de chiffrement feront vraisemblablement partie de celles requises pour protéger les données sensibles, contribuant ainsi à la croissance rapide du trafic réseau et Internet chiffré. Les organisations devront cependant faire attention aux cybercriminels dissimulant leurs attaques au sein d’un trafic en apparences inoffensif. Malheureusement, la plupart des outils de sécurité ne sont pas en mesure d’analyser les données chiffrées à la recherche de malwares, ou de signes d’une attaque chiffrée ou d’exfiltration. De fait, le chiffrement constitue donc un outil simple et efficace pour contourner les systèmes de contrôle de sécurité. La solution consiste à mettre en place une stratégie de chiffrement associant confidentialité des données à une sécurité renforcée. Il existe pour cela des technologies ETM (gestion du trafic chiffré) qui permettent aux organisations de déchiffrer certains types de trafic. Le contenu est ensuite transféré de façon sécurisée afin de subir des contrôles de sécurité, puis à nouveau chiffré et envoyé vers sa destination.
L’obligation d’information en cas de fuite de données est également un problème potentiel. Conformément au GDPR, les organisations dans ce cas sont en effet tenues d’informer l’Autorité de surveillance de l’Union européenne dans les 72 heures. Elles doivent donc évaluer sans attendre leurs capacités actuelles de résolution des problèmes, afin d’être en mesure de dresser rapidement un tableau complet des incidents et de leurs causes.
Mais cela n’est pas aussi simple que cela en a l’air. Selon une enquête de Ponemon Institute, il faut parfois plus de 250 jours pour détecter une fuite de données, et 80 de plus pour la résoudre. Ces délais augmentent lorsque les équipes chargées de la gestion des incidents doivent examiner manuellement d’importants volumes de données hétérogènes afin de déterminer ce qui s’est passé, qui est affecté et comment corriger le problème.
L’intelligence automatisée est importante pour améliorer la capacité des organisations à alerter les intéressés des fuites de données, et pour montrer aux autorités qu’elles ont pris les mesures suffisantes afin de les détecter et de résoudre ces situations. Les solutions de Gestion des informations et des événements de sécurité (SIEM) ou encore d’Analyse rétrospective des incidents réseau leur permettent de capturer automatiquement l’ensemble des données des réseaux à un emplacement unique. Elles peuvent ainsi identifier la méthode employée par les pirates, les ressources affectées et les données concernées.
Le contrôle des données hébergées dans le cloud
De nombreuses organisations considèreront le cloud comme une brèche particulièrement béante au sein de leurs stratégies de protection des données. En raison de leur dépendance croissante aux applications cloud, elles rencontrent de plus en plus de problèmes en matière de confidentialité, de conformité et de sécurité. Les données des utilisateurs sont en effet plus exposées par rapport à l’époque où elles étaient confinées dans des systèmes locaux. Le risque de violation du règlement GDPR en cas de fuite de données s’en trouve donc accru.
Le résultat est que peu d’organisations disposent d’une visibilité et d’un contrôle complets sur leurs données, tout simplement parce qu’elles ne sont pas maîtres de l’infrastructure sur laquelle s’exécutent leurs applications. C’est d’ailleurs là que réside à la fois toute la beauté et l’horreur des applications cloud.
Les technologies de sécurisation des accès aux applications cloud (CASB) ont pour but de résoudre ces problèmes de protection et de résidence. Elles offrent une visibilité sur l’utilisation et sur les données circulant vers ces applications. Il est également possible de contrôler les identités des individus autorisés à les utiliser ou à visualiser certains types d’informations, et de découvrir quelles applications peuvent échanger des données privées.
La tokénisation s’annonce elle aussi comme une technologie utile en matière de résidence des données. Grâce à elle, les organisations peuvent utiliser des applications cloud en toute sécurité en substituant des « jetons » sécurisés à des données privées, tandis que le trafic est transféré vers des serveurs d’applications cloud via Internet. De cette façon, les données privées ne quittent jamais le périmètre de l’organisation. Celle-ci peut ainsi répondre aux exigences de résidence des données et se conformer à l’obligation de protection suffisante du GDPR en cas de fuite, sans oublier les réglementations en matière de résidence des données des cadres Safe Harbor et Privacy Shield.
Le GDPR entrera en application en 2018. Il est donc nécessaire de sensibiliser sans plus tarder vos dirigeants à l’importance de protéger leurs données et aux conséquences de leur non-conformité. Que le GDPR soit ou non le facteur vous incitant à renforcer votre gouvernance, il est grand temps que davantage d’organisations de premier plan relèvent le défi consistant à sécuriser leurs données face à l’évolution rapide du cloud computing.
Applicable à partir du 25 mai 2018, le GDPR établit des standards minimaux en matière de traitement, de sécurité et de partage des données personnelles des résidents de l’Union européenne. Compte tenu de l’étendue des changements nécessaires au niveau des individus, des processus et des technologies à moins de deux ans de la date fatidique, les entreprises les plus visionnaires ont déjà lancé leurs processus de mise en conformité.
Même le Brexit n’empêchera pas le GDPR de changer la façon dont les données sont contrôlées et sécurisées par les organisations britanniques. En effet, ce règlement concerne les données personnelles des citoyens européens et ne s’applique pas en fonction de la présence ou non d’une entreprise dans l’UE. En vertu de sa clause d’extra-territorialité, si vous vendez ou faites la publicité de produits ou services à 5 000 personnes dans la région, vous devrez en respecter les principes. En tout état de cause, le Royaume-Uni n’ayant toujours pas annoncé les modalités de sa sortie de l’Union, l’ensemble des réglementations européennes en vigueur continuent de s’appliquer.
Les changements prévus
Le GDPR harmonisera les réglementations en matière de protection des données dans l’ensemble de l’UE, remplaçant ainsi les dispositions nationales existantes des pays membres. Même si les normes appliquées seront en réalité bien moins rigoureuses pour la plupart d’entre eux et qu’elles nécessiteront la mise en place de nouvelles mesures dédiées au sein des organisations, cette cohérence devrait simplifier les activités des entreprises. Actuellement, celles-ci doivent maîtriser 28 différents programmes de protection. Le GDPR simplifiera considérablement tout cela, tout en permettant malgré tout à chaque pays membre d’établir des réglementations locales complétant la législation européenne.
Parmi les éléments clés de ces nouvelles règles figurent le « droit à l’oubli » ; l’obligation d’information en cas de fuite ; de nommer des responsables de la protection des données (DPO) ; d’avoir recours à des processus et technologies de protection des données pouvant être vérifiés ; ainsi que des amendes allant jusqu’à 4 % des chiffres d’affaires annuels des organisations, ou 20 millions d’euros maximum, en cas d’infraction grave.
Selon le cabinet d’analystes Ovum, 70 % des entreprises prévoient d’accroître leurs investissements afin de répondre aux exigences en matière de protection et de souveraineté des données. L’une de leurs principales motivations est le fait que tout manquement à cet égard à l’issue de la période de transition de deux ans aura des conséquences considérables pour les entreprises, dont le risque d’être régulièrement soumises à des audits de leurs systèmes de protection des données.
Comment se mettre en conformité ?
Les organisations se doivent de déployer des technologies et des procédures de pointe. L’accent doit être mis sur des architectures flexibles capables d’intégrer de nouvelles technologies, la définition de « de pointe » évoluant au fil du temps.
Les technologies de chiffrement feront vraisemblablement partie de celles requises pour protéger les données sensibles, contribuant ainsi à la croissance rapide du trafic réseau et Internet chiffré. Les organisations devront cependant faire attention aux cybercriminels dissimulant leurs attaques au sein d’un trafic en apparences inoffensif. Malheureusement, la plupart des outils de sécurité ne sont pas en mesure d’analyser les données chiffrées à la recherche de malwares, ou de signes d’une attaque chiffrée ou d’exfiltration. De fait, le chiffrement constitue donc un outil simple et efficace pour contourner les systèmes de contrôle de sécurité. La solution consiste à mettre en place une stratégie de chiffrement associant confidentialité des données à une sécurité renforcée. Il existe pour cela des technologies ETM (gestion du trafic chiffré) qui permettent aux organisations de déchiffrer certains types de trafic. Le contenu est ensuite transféré de façon sécurisée afin de subir des contrôles de sécurité, puis à nouveau chiffré et envoyé vers sa destination.
L’obligation d’information en cas de fuite de données est également un problème potentiel. Conformément au GDPR, les organisations dans ce cas sont en effet tenues d’informer l’Autorité de surveillance de l’Union européenne dans les 72 heures. Elles doivent donc évaluer sans attendre leurs capacités actuelles de résolution des problèmes, afin d’être en mesure de dresser rapidement un tableau complet des incidents et de leurs causes.
Mais cela n’est pas aussi simple que cela en a l’air. Selon une enquête de Ponemon Institute, il faut parfois plus de 250 jours pour détecter une fuite de données, et 80 de plus pour la résoudre. Ces délais augmentent lorsque les équipes chargées de la gestion des incidents doivent examiner manuellement d’importants volumes de données hétérogènes afin de déterminer ce qui s’est passé, qui est affecté et comment corriger le problème.
L’intelligence automatisée est importante pour améliorer la capacité des organisations à alerter les intéressés des fuites de données, et pour montrer aux autorités qu’elles ont pris les mesures suffisantes afin de les détecter et de résoudre ces situations. Les solutions de Gestion des informations et des événements de sécurité (SIEM) ou encore d’Analyse rétrospective des incidents réseau leur permettent de capturer automatiquement l’ensemble des données des réseaux à un emplacement unique. Elles peuvent ainsi identifier la méthode employée par les pirates, les ressources affectées et les données concernées.
Le contrôle des données hébergées dans le cloud
De nombreuses organisations considèreront le cloud comme une brèche particulièrement béante au sein de leurs stratégies de protection des données. En raison de leur dépendance croissante aux applications cloud, elles rencontrent de plus en plus de problèmes en matière de confidentialité, de conformité et de sécurité. Les données des utilisateurs sont en effet plus exposées par rapport à l’époque où elles étaient confinées dans des systèmes locaux. Le risque de violation du règlement GDPR en cas de fuite de données s’en trouve donc accru.
Le résultat est que peu d’organisations disposent d’une visibilité et d’un contrôle complets sur leurs données, tout simplement parce qu’elles ne sont pas maîtres de l’infrastructure sur laquelle s’exécutent leurs applications. C’est d’ailleurs là que réside à la fois toute la beauté et l’horreur des applications cloud.
Les technologies de sécurisation des accès aux applications cloud (CASB) ont pour but de résoudre ces problèmes de protection et de résidence. Elles offrent une visibilité sur l’utilisation et sur les données circulant vers ces applications. Il est également possible de contrôler les identités des individus autorisés à les utiliser ou à visualiser certains types d’informations, et de découvrir quelles applications peuvent échanger des données privées.
La tokénisation s’annonce elle aussi comme une technologie utile en matière de résidence des données. Grâce à elle, les organisations peuvent utiliser des applications cloud en toute sécurité en substituant des « jetons » sécurisés à des données privées, tandis que le trafic est transféré vers des serveurs d’applications cloud via Internet. De cette façon, les données privées ne quittent jamais le périmètre de l’organisation. Celle-ci peut ainsi répondre aux exigences de résidence des données et se conformer à l’obligation de protection suffisante du GDPR en cas de fuite, sans oublier les réglementations en matière de résidence des données des cadres Safe Harbor et Privacy Shield.
Le GDPR entrera en application en 2018. Il est donc nécessaire de sensibiliser sans plus tarder vos dirigeants à l’importance de protéger leurs données et aux conséquences de leur non-conformité. Que le GDPR soit ou non le facteur vous incitant à renforcer votre gouvernance, il est grand temps que davantage d’organisations de premier plan relèvent le défi consistant à sécuriser leurs données face à l’évolution rapide du cloud computing.
Les médias du groupe Finyear
Lisez gratuitement :
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 5 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief FinTech Officer
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer
FINYEAR
Le quotidien Finyear :
- Finyear Quotidien
Sa newsletter quotidienne :
- Finyear Newsletter
Recevez chaque matin par mail la newsletter Finyear, une sélection quotidienne des meilleures infos et expertises en Finance innovation & Digital transformation.
Ses 5 lettres mensuelles digitales :
- Le Directeur Financier
- Le Trésorier
- Le Credit Manager
- The Chief FinTech Officer
- The Chief Digital Officer
Finyear magazine trimestriel digital :
- Finyear Magazine
Un seul formulaire d'abonnement pour choisir de recevoir un ou plusieurs médias Finyear
BLOCKCHAIN DAILY NEWS
Le quotidien Blockchain Daily News :
- Blockchain Daily News
Sa newsletter quotidienne :
- Blockchain Daily News Newsletter
Recevez chaque matin par mail la newsletter Blockchain daily News, une sélection quotidienne des meilleures infos et expertises en Blockchain révolution.
Sa lettre mensuelle digitale :
- The Chief Blockchain Officer