Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Lacy Gruen, Ivanti : 5 conseils à suivre pour être en conformité avec le RGPD

novembre 2017 par Lacy Gruen, Director of Product Marketing, Ivanti

À partir de mai 2018, toutes les entreprises traitant des données à caractère personnel devront être conformes au nouveau règlement. Quelques conseils pour se mettre à jour.

Le RGPD (Règlement Général sur la Protection des Données) est un texte européen qui traite de la protection des données à caractère personnel des personnes physiques résidant en Union-Européenne. Quel que soit le pays où se trouve le siège social d’une entreprise, ceelle-ci doit être conforme au règlement si elle récolte les données de citoyens européens. L’Europe expose clairement ses attentes en matière de sécurité, mais n’explique pas clairement la marche que les entreprises doivent suivre pour s’y conformer.

Les techniques et technologies utilisées par les entreprises pour sécuriser leurs données sont différentes selon leur activité. Néanmoins, elles doivent élaborer des méthodes pour pallier leur vulnérabilité en matière de sécurité et pour mettre en place de nouvelles façons de les collecter, de les traiter et d’y accéder.

1. Limiter les risques de l’exposition des travailleurs mobiles - Le nombre de travailleurs nomades est en constante augmentation. En effet, via de multiples périphériques, ces travailleurs accèdent régulièrement à des applications et services basés dans le Cloud, depuis n’importe où dans le monde.

Pour limiter les risques sécuritaires que cette mobilité implique et contribuer à assurer la conformité au RGPD, les entreprises doivent mettre en place de nouveaux contrôles et de nouvelles politiques en tenant compte du contexte. Le contexte comprend l’espace de travail de l’utilisateur et les risques de sécurité qu’il pose en fonction de son emplacement, du périphérique connu ou inconnu, de la fiabilité du réseau et de l’heure de connexion.

Grâce à des contrôles d’accès réguliers, la DSI peut facilement suivre l’accès des utilisateurs et créer des pistes d’audit qui aident l’entreprise à respecter les exigences du RGPD.

2. Réduire et contrôler les accès privilégiés des utilisateurs - De nombreuses organisations accordent des droits d’accès privilégiés à des utilisateurs qui nécessitent une gestion particulière. Ces utilisateurs privilégiés sont les premières cibles des acteurs malveillants car leurs droits d’accès étendus permettent aux pirates de naviguer plus facilement sur les réseaux privés, SI et applications d’entreprise.

Pour réduire les risques, les entreprises doivent être proactives et mettre en place des contrôles d’accès dynamiques. Les droits d’utilisateur privilégiés doivent être immédiatement verrouillés lorsque les administrateurs quittent une application ou indiquent qu’une tâche est terminée.

Par ailleurs, pour une sécurisation optimale des données, la gestion de ces comptes à privilèges permet de déterminer une échelle de criticité des données à caractère personnel. Pour assurer la sécurité de ces comptes, les mots de passe doivent avoir une authentification forte et l’utilisateur doit être obligé de passer par un serveur de rebond pour accéder à ces informations.

3. Diminuer les taux de réussite des logiciels malveillants - Les cybercriminels utilisent les attaques d’hameçonnage par e-mail, sur des sites Web et périphériques mobiles pour transmettre du code malveillant aux dispositifs informatiques et accéder à des données personnelles.

La plupart des organisations ont déjà mis en place une forme de whitelisting, mais l’ajout de contrôles lors des étapes en amont - utilisant des signatures pour ouvrir des fichiers ou exécuter des applications - peut empêcher les utilisateurs de lancer accidentellement une attaque.

Ainsi, le contrôle d’accès à certains sites Web ou fichiers spécifiques empêche les utilisateurs d’enregistrer des fichiers malveillants sur des disques durs locaux et verrouille les périphériques externes, afin que seuls les fichiers protégés ou chiffrés puissent être ouverts ou sauvegardés. Ces contrôles proactifs aident les organisations à assurer la protection des données à caractère personnel et à démontrer qu’elles respectent les exigences du RGPD en matière de sécurité.

4. Constituer des équipes adéquates - De nombreuses organisations font encore appel à des processus manuels pour gérer les parcs machines des travailleurs lors de l’embauche et du licenciement. Ces types de process entraînent souvent des erreurs systèmes.

En effet, des études ont montré que de nombreux travailleurs ont encore accès aux données de l’entreprise après l’avoir quittée - parfois pour une période prolongée -, ce qui met en péril le SI. Il est donc important pour l’intégrité de l’entreprise de mettre en œuvre des processus informatiques appliquant des politiques d’accès automatisées aux applications et SI.

En adoptant une approche plus holistique de la gestion du cycle de vie des identités, la sécurité peut être améliorée considérablement pour aider à répondre aux exigences de conformité du RGPD.

5. Enregistrer tous les accès aux données à caractère personnel pour un suivi précis et des rapports exacts - Les organisations doivent tenir à jour des registres de la collecte, du stockage et du traitement des données à caractère personnel qu’elles récoltent, pour être en conformité avec le règlement.

Une gestion fine et précise des autorisations d’accès est également indispensable. La DSI doit connaître tous les accès dont dispose chaque utilisateur pour protéger les endpoints sur tous les types de terminaux utilisés.

L’implémentation de solutions logicielles qui fournissent des rapports d’audit détaillés sur les espaces de travail est donc primordiale pour le bon fonctionnement de l’entreprise et permettent également d’être en conformité au RGPD.


Voir les articles précédents

    

Voir les articles suivants