Alors que l’échéance de mai 2018 approche à grands pas pour leur mise en conformité avec le Règlement général sur la protection des données (RGPD), de plus en plus d’entreprises s’efforcent surtout de se donner les moyens de satisfaire aux exigences énoncées dans ce document. Raphael Bousquet, VP Europe du Sud et Russie chez Palo Alto Network, vous donne des pistes pour vérifier que vous tirez le meilleur parti des éléments déjà en votre possession
Notre dernière étude révélait qu’en France, 60 % des responsables IT espèrent un impact positif sur leur entreprise suite à l’introduction des nouvelles réglementation (ils sont 68 % en Allemagne et 63 % au Royaume-Uni). Pourtant, en France, 52 % des professionnels de la sécurité informatique (contre 65 % au Royaume-Uni) estiment que l’entrée en application du RGPD et de la Directive NIS sera compliquée, tant d’un point de vue financier qu’opérationnel.
Bien trop souvent, les décideurs partent du principe que des investissements supplémentaires s’imposent, ce qui n’est pas entièrement faux ; pour autant, vous devez également remettre en question l’organisation de votre entreprise en vous efforçant de tirer le meilleur parti des atouts déjà en votre possession.
De même, il semblerait que nombre de décideurs font des outils de prévention contre les fuites de données (DLP) et de chiffrement des éléments indispensables à la protection des données. Or, pour avoir travaillé, plusieurs années durant, avec ces deux catégories d’outils à des stades antérieurs de mon parcours professionnel, je tiens à souligner que, comme toute fonctionnalité, ceux-ci posent des difficultés de mise en œuvre bien spécifiques. Souvent, des technologies adjacentes peuvent contribuer à réduire l’ampleur de ces difficultés et les coûts induits. Pour les aborder toutes, il faudrait un blogue gigantesque ; je me contenterai par conséquent de n’en sélectionner que quelques-unes, dans l’unique but de stimuler votre réflexion créatrice et de vous accompagner sur votre parcours RGPD.
Votre pare-feu peut vous faciliter la tâche
J’insisterai d’abord sur le rôle primordial de votre pare-feu, qui peut vous faciliter la tâche tout en allégeant la facture induite par une meilleure sécurisation du cycle de vie des informations nominatives. Comment vérifier que vous tirez le meilleur parti des éléments déjà en votre possession et, si ce n’est par son biais, mieux articuler des processus de sécurité dont la mise en œuvre relève, aujourd’hui, parfois de la responsabilité de différentes équipes dans l’entreprise ?
Bien trop souvent, le premier réflexe, en matière de gestion du cycle de vie des données nominatives, consiste à tenter d’opérer un classement des données – une tâche qui risque de s’éterniser puisque chaque jour, nous générons de nouvelles données ou de nouvelles déclinaisons de celles existantes. Le but visé consiste à démêler cette masse de données non structurées.
Il faut qu’un changement de mentalité s’opère ; l’objectif n’est plus de tenter de définir l’endroit où se trouvent vos données nominatives, mais plutôt de définir – et d’appliquer – celui qu’elles peuvent et doivent occuper. Ce faisant, vous réduisez le périmètre d’application des contrôles DLP ultérieurs.
La plupart des entreprises exercent d’ores et déjà un droit de regard sur les données nominatives au sein des processus métier. Concrètement, peuvent figurer parmi eux des outils de gestion de la relation client (CRM), des mécanismes de veille sur les menaces englobant parfois des données nominatives, et des systèmes RH. Pour autant, il existe souvent un énorme décalage entre l’emplacement où sont stockées les données structurées et celui où elles sont supposées résider. Parvenir à définir précisément leur emplacement vous permettra de cerner les points où elles se muent en données non structurées.
Si vous faites appel à d’excellents pare-feu applicatifs (opérant au niveau 7 du modèle OSI) dans votre entreprise, vous pouvez vous en servir pour cartographier l’utilisation de vos applications en temps réel. Vous pourrez ainsi repérer celles qui interagissent les unes avec les autres, celles qui communiquent en dehors de l’entreprise, et connaître l’identité des utilisateurs qui se livrent à cet exercice et dans quel volume.
L’objectif principal, ici, est de raisonner selon le modèle « Zéro confiance » : être capable de segmenter les données nominatives de votre entreprise – et de réduire ainsi leur marge de manœuvre – au moment où elles deviennent des données non structurées et, surtout, de réduire le périmètre de la zone à sécuriser. De même, cette visibilité peut vous aider à définir les points où un chiffrement s’impose, et ceux où les données ne doivent jamais résider ni être accessibles.
Abordons à présent la pierre angulaire de la gestion des données nominatives : un pare-feu applicatif de bonne facture assurera un filtrage des contenus. Si vous disposez d’une solution DLP assurant le balisage des données, votre pare-feu doit aussi être capable de mettre à profit les balises ainsi insérées. Peut-être vous interrogez-vous sur l’utilité de cette fonction ; de par sa capacité à inspecter le trafic crypté, votre pare-feu peut rendre accessibles des données que la solution DLP serait sans cela incapable d’analyser. De même, en fonction de votre configuration, peut-être pouvez-vous tirer parti de votre pare-feu afin de disposer de davantage de points de contrôle si vous l’avez utilisé pour segmenter le trafic système de votre entreprise.
Si vous ne disposez pas d’outil DLP, mais entendez contrôler l’application de vos flux de données nominatives, là encore, un pare-feu applicatif sera susceptible d’opérer un filtrage des contenus. Sans être aussi sophistiqués que ceux proposés par les outils DLP, la plupart vous permettront de rechercher des expressions ordinaires (mots, formes de structure courante de type données de carte bancaire, etc.) dans des types de fichiers universels ; cette version édulcorée suffira, dans certains cas, à cartographier et contrôler l’utilisation des données.
Que faut-il donc retenir ?
Exploiter l’existant jusqu’au-boutiste permet parfois de résoudre un problème. La prévention contre les fuites de données et le chiffrement sont essentiels à la gestion du cycle de vie des données nominatives. Néanmoins, tous deux peuvent s’avérer onéreux tant en termes de dépenses d’investissement (Capex) que de dépenses d’exploitation (Opex). Vous pouvez recourir à d’autres outils et processus pour réduire votre dépendance à leur égard.
Le RGPD est une rare occasion de prendre un peu de recul. Il est intéressant de constater le nombre d’entreprises qui, en investissant dans une technologie de pointe comme un pare-feu de nouvelle génération, se donnent les moyens de réaliser toutes ces choses, mais qui persistent néanmoins à s’en servir comme du pare-feu qui, depuis 20 ans, filtre les paquets en opérant au niveau de la couche 3 du modèle OSI (couche réseau).
Avant de gaspiller davantage un précieux budget, remettez-vous en question, vous et votre entreprise, par rapport à ce que vous possédez déjà. Prenez soin de cerner les fonctionnalités de base, ainsi que les composants supplémentaires. Définissez-les dans les grandes lignes, puis réfléchissez à la manière dont ils pourraient simplifier vos processus pour en réduire l’envergure. En l’occurrence, si l’analyse de la segmentation de votre trafic ou l’adoption d’un modèle « Zéro confiance » ne sont pas expressément réclamées par le RGPD, elles sont en adéquation avec la notion de meilleures pratiques en l’état actuel des connaissances et, surtout, les dispositifs susceptibles de réduire la prolifération de vos données nominatives. Concrètement, leur sécurisation posera moins de problèmes, et votre entreprise courra moins de risques.