Actu
ITRUST : des solutions pour s’approcher de la compliance au RGPD
juin 2017 par Marc Jacob
A l’occasion de son 10ème anniversaire ITRUST a organisé une conférence afin de présenter comment ses solutions répondent aux obligations du RGPD. Entre ses services de pentests et d’audit de sécurité, IKARE son scanner de vulnérabilités, Reveelium sa solution à base d’intelligence Artificielle et son SOC, et son service de conseil juridique en association avec un cabinet d’avocats, il est vrai qu’ITRUST couvre une bonne partie des exigences du RGPD.
En introduction, David Offer, Vice-Président d’ITRUST a fait un petit rappel historique sur les piratages informatiques en partant
du 1er CAS par Johan Druper qui avait pirater AT&T jusqu’à Wannacry en 2017. Selon David Offer, l’émergence du
piratage est intervenu avec la parution du journal « Phrack » en 1985 aux États-Unis. En outre, il a rappelé que la plus part des piratages informatique utilise toujours les mêmes recettes : l’absent de déploiement de patch de sécurité et la défaillance humaine. Il a cité en autre les cas de Stuxnet qui a utilisé des principes connus ou encore de Wannacry qui s’est attaqué au SI en utilisant une vulnérabilité non patchée.
Par la suite, il a rappelé qu’ITRUST fête ces 10 ans cette année. Son entreprise
est exclusivement française et à toujours les mêmes actionnaires. ITRUST procède toujours à des audits de Sécurité et du Pentest, mais est aussi devenu un éditeur avec IKARE et Reveelium. ITRUST propose aussi un Service de SOC qui peut être déployé
en moins de 30 jours pour n’importe quel type e SI. Ce SOC est aussi utilisé en marque blanche par de grands opérateurs.
En outre, il a noté que les régulations ont évolué sans arrêt depuis 1983 dans tous les pays du monde. Aux Etats-Unis tout a commencé par la parution de l’Orange Book et en France avec la Loi Informatique et Liberté depuis 1978. Par la suite, la LPM, la Loi pour la République Numérique sans compter la proposition de
règlement Privacy de 2017 ont suivi. En France, la plus part ces règlements et lois protègent la vie privée tout en s’occupant de la Sécurité des SI.
Il a rapidement présenté les nouveautés d’IKARE qui permet aujourd’hui de mettre des Tags sur les serveurs en fonctions des réglementations comme par exemple le RGPD.
Le SOC quant à lui propose du reporting sur les risques et la conformité avec l’analyse des tickets utilisé, des interventions passés et en cours, des alertes remontées.
Maître Julie Bellesort
Quelques points forts sur le RGPD
Maître Julie Bellesort a par la suite fait une présentation rapide du RGPD. Ce règlement répond aux insuffisances du cadre actuel et notamment aux trop faibles condamnations des manquements en matière de protection des données à caractère personne. Pour elle, la grande nouveauté est l’application territoriale du RGPD qui est applicable aux responsables de traitements situés en hors de l’Union européenne. Elle a également insisté sur l’indispensable consentement des personnes dont les données sont traitées.Les entreprises vont devoir rapporter la preuve qu’il a été demandé de façon explicite et claire. Les pavés d’informations sous les formulaires vont devoir être revus. Elle a bien sûr rappelé que les sanctions ont été étendues (jusqu’à 4% du CA annuel ou 20 millions d’€ ). Sans compter d’autres sanctions tout aussi importantes comme la limitation ou l’interdiction du traitement des données. La CNIL pourra aussi retirer une certification…
Au niveau des nouveautés, on trouve la tenue d’un registre des traitements à jour,
la nomination d’un DPO... sans compter le droit à la portabilité des données, la
consécration juridique du profilage, les actions de groupe, la création d’une
responsabilité conjointe de deux responsables de traitements, de nouvelles
obligations pour les sous-traitants qui vont induire de renégociation de contrats.
Maître Julie Bellesort a rappelé les principales actions à mener à commencer
par la nomination d’un DPO, la cartographie des traitements des données, la revue
des contrats avec les sous-traitants, la modification des conditions sur les sites
Web.
Sandra Maslic
ITRUST : vers la compliance au RGPD
Sandra Maslic, Account Manager d’ITRUST a présenté son offre en matière de RGPD à commencer par la formation, les audits de conformité au RGPD, l’accompagnement à la
mise en conformité et à la communication en cas de pertes de données.
ITRUST propose une aide à la revue documentaire tant au niveau des contrât que de
la charte informatique de la société.au niveau technique, ITRUST propose des
audits techniques et une identification des risques et de leurs impacts. La
société recommande d’avoir des serveurs dédiés pour le traitement des
données... mais elle insiste sur le fait de monter des actions de sensibilisation.
Avec IKARE, il est possible de tagger tous les serveurs qui traitent de données
avec Reveelium il est possible de prévenir l’exfiltration de données et avec le SOC
d’avoir une vision sur l’état de Sécurité du SI.
