Le nouveau règlement européen sur la protection des données impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité, explique ici Stephane Johnson, VP Sales EMEA South and Central chez Ixia.
Le 25 mai 2018, le Règlement européen Général sur la Protection des Données (GDPR) va s’appliquer à tous les pays membres de l’Union Européenne. À cette date, les organisations ressortissantes devront avoir pleinement mis en œuvre les mesures nécessaires pour s’y conformer au risque de se voir infliger des sanctions.
La GDPR, s’appliquant à la fois la sécurité et la visibilité, va impacter la plupart des entreprises en deux points. D’abord, les entreprises européennes, ou travaillant avec des résidents de l’UE devront veiller à ce que le traitement des données personnelles, stockées ou en circulation, soit conforme avec la nouvelle réglementation. Ensuite, elles devront garantir que celles-ci ne puissent être envoyées vers un pays hors UE, susceptibles d’avoir des normes de sécurité plus faibles.
La mise en application de la GDPR aura donc une incidence sur la façon d’organiser les données personnelles (recueil, enregistrement, stockage), ainsi que sur leurs modalités de partage. La définition de « données personnelles » retenue par la GDPR est large et comprend toutes les données privées ou professionnelles, y compris les noms, adresses, photos, adresses électroniques, coordonnées bancaires, publications sur les réseaux sociaux, informations médicales et même l’adresse IP. Il s’agit donc d’un règlement à multiples facettes qui impacte à la fois l’infrastructure informatique, les processus et les personnes. Le renforcement de la visibilité et de la sécurité du réseau, en plus d’empêcher les pertes de données et les infractions, sont donc des éléments fondamentaux pour la mise en conformité.
Voici quelques conseils pour les améliorer.
Visibilité – et invisibilité – des données
Pour savoir à quel pays les données sont envoyées, les organisations ont besoin de s’appuyer sur une architecture réseau conçue pour accroitre la visibilité, et qui délivre en temps réel une vision du flux de données qui y circule. Ils doivent également savoir si ces données sont cryptées ou non, et si elles ne le sont pas, s’assurer qu’elles soient « pseudonymisées ».
Cependant, le fait de considérer les adresses IP comme des données personnelles complique les choses et inverse les approches traditionnelles en matière de visibilité. En effet, au lieu d’ouvrir le réseau à une analyse approfondie des données via des outils de plus en plus puissants, la GDPR exige que le flux de données personnelles confidentielles soit restreint. Par conséquent, les organisations ont besoin d’une architecture de visibilité capable de protéger les adresses IP.
L’une des options consiste donc à déployer des outils utilisant le masquage des données. Initialement développés pour sécuriser les informations d’identification personnelle, ces outils s’avèrent particulièrement adaptés à la mise en conformité à la GDPR. Le principe est qu’un administrateur peut définir lui-même le masquage des données en fonction de leur nature (carte de crédit, adresse IP…)
Le masquage des données est aussi lié également au Secure Socket Layer (SSL), que de nombreuses organisations utilisent pour des raisons de sécurité, et notamment l’identification des menaces dans les charges utiles malveillantes. Une fois la charge utile déchiffrée, toute donnée sensible peut être masquée afin de faciliter la conformité.
Les organisations hors UE qui traitent des données appartenant à des citoyens de l’UE doivent, elles aussi, offrir une protection équivalente et par conséquent déployer des processus et des technologies pour se conformer à la GDPR. Puisqu’il est difficile de séparer les données les unes des autres, la géolocalisation des données utilisateur est un élément essentiel à mettre en place pour identifier le trafic provenant de l’UE.
Les enjeux liés à l’environnement Cloud
Au-delà du stockage en local, les environnements cloud apportent eux aussi de nouvelles problématiques. Si une organisation traite des données personnelles en utilisant les deux méthodes simultanément, le cryptage des données entre les deux infrastructures est essentiel.
Les déploiements sur un cloud privé nécessitent quant à eux des architectures capables d’exploiter, surveiller et orienter le trafic vers un Network Packet Broker (NPB), tout en garantissant le même masquage des données et l’identification de la géolocalisation que sur un réseau physique.
En ce qui concerne le cloud public, les organisations doivent demander à leur fournisseur la garantie que le service est conforme à la GDPR, et s’il fait partie de l’initiative Cloud Infrastructure Services Providers en Europe (CISPE). Cette dernière est une association de plus de 20 fournisseurs de services cloud internationaux et basés en UE qui ont développé une charte de protection des données qui peut devenir un cadre pour la conformité GDPR.
Toutefois, il est à noter que la responsabilité d’assurer la conformité à la GDPR incombe à l’organisation et ne peut en aucun cas être laissée au seul fournisseur de services.
Mettre son réseau à l’épreuve
En plus d’avoir une visibilité sur les réseaux physiques et virtuels, les organisations doivent s’assurer que leur réseau est solide et protégé contre les violations des données. Pour ce faire, Il est important d’utiliser une architecture de test qui peut simuler avec précision un réseau en produisant du trafic qui intègre à la fois des informations personnelles mais aussi des logiciels malveillants provenant de diverses zones géographiques. Cela permet d’évaluer que les solutions de sécurité mises en place arrêtent les menaces mais autorisent un trafic valide.
En conclusion, avec une architecture de visibilité appropriée qui leur permet de :
• suivre les données sensibles en temps réel
• surveiller le trafic chiffré pour les données sensibles
• identifier et masquer les données des personnes identifiables
… à travers les environnements locaux et cloud, les organisations créeront une base solide pour se conformer aux exigences de la GDPR.