Le RGPD impose de muscler la sécurité des données personnelles. Leur chiffrement systématique doit s’imposer en dépit des contraintes, mais pas seulement.
Le RGPD impose la mise en place de nouvelles procédures afin de détecter et traiter les incidents de sécurité au plus vite. Le montant potentiel des sanctions va pousser de nombreuses entreprises à hisser le niveau de leurs mesures de protection des données et pousser de nombreuses DSI à généraliser le chiffrement des données personnelles stockées dans leurs bases de données. « Sur le plan technique, le chiffrement couvre 80% du problème RGPD » estime Frans Imbert-Vier, PDG d’Ubcom. « Mettre en place le chiffrement représente un quick-win extrêmement efficace, mais cela pose tout de même de grosses contraintes. Il faut des infrastructures très performantes dès lors qu’on traite des masses importantes de transactions et cela nécessite aussi une plus grande rigueur en termes de gouvernance. » Généraliser le chiffrement et déployer des infrastructures de gestion de clé de type EKM comme Gemalto SafeNet KeySecure peut paraître comme un projet complexe et coûteux, mais des acteurs du Cloud comme Amazon Web Services, Box ou Salesforce mettent à la disposition ce type de plateforme afin de permettre à leurs clients de chiffrer leurs données avec leurs propres clés de chiffrement (dans une approche Bring Your Own Keys). En outre, des solutions de chiffrement de bout en bout permettent de chiffrer les données qu’elles stockent dans des applications SaaS ou des services Cloud divers. Parmi les logiciels de CASB capables de réaliser un tel chiffrement, les solutions de Symantec/Blue Coat, de Skyhigh Networks, Netskope, Cisco ou encore la plateforme CipherCloud qui peut ainsi chiffrer les contenus d’Office 365, Box, Google Drive, Salesforce, SAP SuccessFactors, ServiceNow.
Un audit de sécurité constant des données
En parallèle, de nombreuses entreprises déploient des solutions de protection de données de type DCAP (Data-Centric Audit and Protection), un acronyme qui englobe des solutions de gouvernance de la donnée, des solutions de monitoring des traitements et de protection pure et dure. Les acquisitions d’acteurs de ce type de solutions sont fréquentes, à l’image de l’acquisition de Skyfence par Forcepoint auprès d’Imperva, d’HexaTier par Huawei, de Blue Coat par Symantec et de CloudLock par Cisco. En France, Varonis occupe une place de choix sur ce marché, revendiquant 1 700 clients, tant des grands comptes que des PME et des acteurs du service public. Christophe Badot, DG France de Varonis, explique le rôle d’une telle plateforme vis-à-vis du RGPD : « DatAdvantage permet de localiser où sont stockées les données sensibles, identifie qui y accède et qui devrait y accéder. Le logiciel donne une visibilité sur l’ensemble de données non structurées, qu’elles soient stockées sur des serveurs de fichiers, des partages SharePoint et dans la messagerie Microsoft Exchange. » A ce logiciel de base, l’éditeur propose un module de classification automatique qui va repérer automatiquement les données personnelles dans le SI de l’entreprise et enfin un module d’alerting, DatAlert Suite, un logiciel qui génère des alertes lorsqu’un utilisateur tente d’accéder à un répertoire qui contient des données sensibles ou si de gros volumes de données sont copiés. Il a récemment été complété d’un dispositif d’alerte comportementale qui réagit en cas de comportement suspect d’un utilisateur. « Beaucoup des fonctions aujourd’hui demandées par la conformité au RGPD sont déjà délivrées par la plateforme Varonis, qu’il s’agisse de notre module de classification qui sait déjà identifier les données sensibles ou de notre module d’alerting pour une fuite de données massive. Notre enjeu aujourd’hui est de faire comprendre à nos clients les cas d’usage de notre plateforme. Ils sont très divers : identifier des données sensibles, localiser les données lorsqu’un client veut exercer son droit à l’oubli, déplacer les données les plus utilisées vers les infrastructures de stockage les plus performantes, etc. », relève Christophe Badot.
Pour Frans Imbert-Vier, les DSI doivent hausser leur niveau de protection et le Bastion est la solution la plus radicale pour imposer à tous un fonctionnement conforme au règlement européen. Peu d’éditeurs proposent aujourd’hui ce type de solutions, ce qui les rend encore très coûteuses à déployer. Wallix est certainement l’éditeur le plus présent en face de Balabit et Bomgar. Le durcissement réglementaire et les premières sanctions pourraient bien pousser de plus en plus d’entreprises à adopter une telle approche sécuritaire.
Frans Imbert-Vier,
PDG d’Ubcom
« Le Bastion est la solution la plus efficace
mais la plus radicale »
« Qu’il s’agisse de Wallix ou de Bomgar, le Bastion est un système de protection de la donnée certainement le plus efficace dans le cadre du RGPD mais sa mise en œuvre pose de vraies contraintes de gouvernance. Cela impose une véritable rigueur opérationnelle qui n’existe aujourd’hui que dans les DSI des banques, mais pas encore dans le secteur des services, du e-commerce ou dans l’industrie. La mise en place d’un Bastion n’est pas un enjeu technique mais humain : les organisations doivent accepter des contraintes et des tâches supplémentaires de contrôle et de gestion. »