Se préparer au RGPD en 2017 Questions exploratoires

Le règlement général sur la protection des données (RGPD) sera un facteur majeur d’adoption de solutions de sécurité dans de nombreux secteurs cette année. Les montants des amendes et l’atteinte à l’image de marque accompagnant la divulgation publique des violations de données pourraient avoir un effet négatif sur les initiatives de transformation numérique des entreprises. Pour bon nombre d’entre elles, la question est de savoir par où commencer et selon quelle échelle de priorité. Les chefs d’entreprise et les hauts dirigeants doivent porter un œil critique sur leur dispositif actuel de sécurité des données, en s’inspirant de ces quelques questions exploratoires.

 

Votre entreprise possède-t-elle une culture de la sécurité des données et le personnel y est-il sensibilisé ?

Pourquoi est-ce important ? Il est essentiel qu’au sein de l’entreprise, tous les intervenants, depuis les cadres dirigeants jusqu’aux utilisateurs, en passant par les administrateurs et développeurs, soient formés, certifiés et prêts à adopter une culture délibérée de la sécurité et de la confidentialité des données. Bien souvent, pour préparer l’entreprise à la mise en œuvre de ce nouveau règlement, il sera nécessaire de nommer un délégué à la protection des données ; celui-ci sera responsable de la conformité opérationnelle et de la communication avec les autorités de contrôle. De plus, au vu des montants potentiels des amendes en cas de non-respect du RGPD, il sera sans doute nécessaire de mettre en place de nouvelles structures internes de rapport et de développer une véritable culture de respect de la conformité.

Savons-nous où sont stockées nos données sensibles ou confidentielles ?

Pourquoi est-ce important ? Vous ne pouvez pas protéger les données si vous ne connaissez pas les emplacements de stockage, les applications et les processus métiers qui y sont liés. De nombreux systèmes de prévention des pertes de données sont inefficaces en raison de ce problème particulier. À l’heure actuelle, les données sont omniprésentes. Cela étant, elles sont de plus en plus fréquemment stockées sur des terminaux mobiles et des systèmes de cloud, ce qui les rend plus vulnérables aux attaques et aux utilisations abusives. Il est donc conseillé d’implémenter un programme de découverte et classification continues des données, qui fait appel à une équipe fonctionnelle composée des propriétaires des données, des responsables des opérations de sécurité et d’experts en sécurité des données.

Utilisons-nous le chiffrement pour assurer la protection des données ?

Pourquoi est-ce important ? Le chiffrement est un facteur important de limitation des risques de pertes de données. Il convient de l’utiliser chaque fois que possible dans le but de protéger les données au repos et en mouvement, particulièrement sur les terminaux mobiles tels que les ordinateurs portables, ou encore les données transférées vers le cloud. Des enquêtes récentes ont établi que près de 20 % des données transférées vers des sites de stockage dans le cloud étaient de nature sensible. Chacun de ces transferts de données sensibles est susceptible de constituer une violation du RGPD. De plus, il est nécessaire que les entreprises disposent d’une visibilité sur l’état de chiffrement et qu’elles appliquent des mesures correctives automatiques aux équipements ou flux de données non chiffrés.

Une initiative de prévention des pertes de données est-elle en place ou prévue pour cette année ?

Pourquoi est-ce important ? Un programme de prévention des pertes de données, avec points de contrôle au niveau des hôtes et du réseau, est un facteur essentiel pour prévenir ou détecter les incidents de pertes de données, qu’ils soient accidentels ou dus à des carences dans les stratégies. Selon des enquêtes récentes, près de 10 % de toutes les données partagées en dehors de l’entreprise contiennent des données sensibles, y compris des informations d’identification personnelle. En outre, les entreprises subissent en moyenne 20 incidents de sécurité liés aux données par jour. Chacun de ces incidents est susceptible de constituer une violation du RGPD.

Savons-nous où sont situées toutes nos bases de données et les types de données qui y sont stockés ?

Pourquoi est-ce important ? Les bases de données abritent généralement les données les plus précieuses d’une entreprise, particulièrement les informations sur la clientèle. Cependant, de nombreuses entreprises mettent uniquement en œuvre des contrôles de sécurité basiques, n’appliquent pas régulièrement les correctifs en raison de l’indisponibilité qu’ils entraînent et se reposent sur les administrateurs pour la surveillance de l’activité. De plus, de nombreuses bases de données déployées à des fins de test et de développement utilisent des données de production, ce qui crée un risque supplémentaire d’exposition des données sensibles. Pour se préparer au RGPD, les entreprises doivent envisager ces mesures essentielles : examen des procédures de sécurité appliquées aux bases de données, renforcement de la protection contre les attaques exploitant les vulnérabilités, et création de scénarios spécifiques pour les compromissions de bases de données dans le cadre des opérations de sécurité.

Il reste de nombreuses autres questions à se poser. Qu’en est-il des applications de cloud SaaS (Software-as-a-Service) qui hébergent des données privées ? Comment contrôlons-nous les privilèges et l’activité des utilisateurs avec privilèges, en particulier en lien avec les services de cloud ? Les responsables des opérations de sécurité ont-ils déjà prévu des scénarios de détection des violations de données ? Voici le genre de questions que doivent se poser les entreprises pour se préparer à l’entrée en vigueur du règlement général sur la protection des données.

Participez à la conversation : @McAfee.

Leave a Comment

one × 3 =