Accueil AVIS D’EXPERT - Se préparer à la conformité au RGPD

AVIS D’EXPERT – Se préparer à la conformité au RGPD

 

 

 

C. Auberger,
Directeur Technique FORTINET France

 

 

En reconnaissant la valeur des données, le Règlement Général sur la Protection des Données (RGPD) tient les entreprises responsables de la protection des données personnelles recueillies, stockées et utilisées, tout en exigeant qu’elles rendent aux individus le contrôle et la protection sur leurs données.

 

La conformité au RGPD nécessite des changements au niveau des workflows de traitement, de la structure organisationnelle, des processus métiers et, in fine, des technologies informatiques et de sécurité.

Responsabilité et gouvernance

L’entreprise doit être capable d’apporter les preuves de sa conformité via des mesures de gouvernance appropriées, documents détaillés, logs ou programme d’évaluation continu des risques. Le RGPD impose une “protection des données dès la conception et par défaut” impliquant l’intégration de la sécurité dès les phases amont de design d’un système, et non rétrospectivement. Cette exigence souligne le rôle essentiel de la sécurité du réseau en tant que première ligne de défense. En attendant que les nombreux systèmes existants puissent être repensés pour intégrer des fonctions de sécurité, la sécurité réseau reste souvent la seule défense contre les violations de données. Alors que de nouvelles vulnérabilités sont découvertes, les technologies de sécurité et les méthodes de protection des données, conformes aujourd’hui, devront être mises à jour ou remplacées pour pérenniser cette conformité.

Les défis de la sécurité réseau

Les menaces en mutation posent un réel défi. Un défi qu’accentue le RGPD en imposant aux entreprises de déployer une sécurité qui relève de l’état de l’art. L’évolution de la cybersécurité, l’identification de nouveaux vecteurs d’attaque impose souvent de renforcer l’arsenal de sécurité existant en y intégrant un nouvel outil de sécurité. Si ce nouvel outil assure sa tâche, il le fera néanmoins de manière cloisonnée, avec peu ou pas d’interactions avec les autres composantes de l’infrastructure. Ceci est non seulement difficile à gérer, mais peut entraîner des défaillances et une prise en charge des menaces non adaptée.

Le défi est d’autant plus grand que la mobilité, le cloud et l’Internet des Objets sont des tendances qui étendent la surface d’attaque, qui introduisent de nouvelles vulnérabilités et remettent en cause le concept traditionnel de la périphérie du réseau.

Une notification des violations dans les 72 heures

Le renforcement des traitements et des contrôles de sécurité répond à ces nouvelles menaces, mais un contrôle plus important entraîne souvent des perturbations. Aussi, de nouveaux outils de sécurité favorisent la complexité, en multipliant le nombre de sources de données devant être agrégées et analysées afin de déterminer la réponse la plus appropriée à un incident détecté. Toute solution relevant de l’état de l’art devra non seulement remédier aux défis mentionnés, mais aussi s’adapter aux changements qui s’opèrent dans le monde des technologies et dans l’univers des menaces.

Le RGPD impose aux entreprises de notifier les violations de données aux autorités de contrôle. Encore faut-il savoir détecter une violation de données, ainsi que les ressources ciblées. En 2016, le délai moyen d’identification d’une violation par les entreprises était de presque cinq mois. Même si le délai de 72 heures qu’impose le RGPD pour la notification de la violation démarre au moment de la détection et non de l’intrusion per se, de tels incidents doivent être impérativement détectés au plus vite, puisque l’impact financier est proportionnel à la durée pendant laquelle un hacker opère furtivement au sein du réseau.

Il n’est certes pas possible de détecter l’indétectable et les administrateurs de la sécurité doivent accepter l’inévitable, tout en essayant de minimiser le nombre d’intrusions et d’accélérer leur détection. Aussi, une attaque qui n’a jamais été rencontrée auparavant ne signifie pas qu’elle est indétectable. En misant sur l’analyse du trafic réseau et sur une veille des menaces, des attaques inconnues peuvent être identifiées et neutralisées.

L’approche traditionnelle de la sécurité réseau, qui consiste à déployer plusieurs outils de sécurité cloisonnés, se contente de faire confiance à la capacité d’un administrateur de sécurité à prendre les bonnes décisions. Mais une telle approche est risquée. Alors que les réseaux gagnent en complexité et que les incidents de sécurité sont plus nombreux, il devient essentiel d’encourager la collaboration et une automatisation intelligente au sein de l’infrastructure de sécurité.

www.fortinet.com