Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RSA élargit son portefeuille de solutions Business-Driven Security™ pour aider ses clients à répondre aux enjeux du RGPD

octobre 2017 par Marc Jacob

RSA dévoile les nouveaux modules de la suite Archer, afin d’aider les entreprises à répondre aux enjeux de conformité liés aux réglementations en matière de protection des données, tel que le règlement général sur la protection des données (GDPR).

Les nouvelles offres RSA® Archer® axées sur la gouvernance des données et la gestion des programmes de protection des données peuvent être associées à RSA NetWitness® afin d’accélérer la réponse aux violations, ou à RSA SecurID® pour sécuriser l’accès aux identités et aux données et ainsi favoriser la conformité en continue.

Le RGPD oblige les entreprises du monde entier à revoir et repenser la manière dont elles gèrent et protègent les données dans le cyberenvironnement interconnecté d’aujourd’hui. Une étude récente de PwC a révélé que plus de la moitié des multinationales basées aux États-Unis font du RGPD leur priorité absolue en matière de protection des données.

LA PROTECTION DES DONNÉES, UN RISQUE POUR L’ENTREPRISE

RSA propose un portefeuille de produits et de services dans ces domaines, dont deux nouveaux cas d’usage pour sa solution leader du marché, RSA® Archer® :
• Le cas d’usage RSA Archer Data Governance aide les entreprises à mieux documenter les exigences de conformité de la gouvernance des données tel que le RGPD
• Le cas d’usage RSA Archer Privacy Program Management permet aux entreprises de gérer de façon globale les programmes de protection des données et d’adapter les processus aux réglementations, y compris les évaluations du niveau de protection, et le suivi réglementaire des dossiers.

Finalement, le RGPD n’est pas simplement une question de GRC (Gouvernance, gestion des risques et conformité). Le RGPD s’applique à l’ensemble de l’entreprise et oblige les sociétés à adopter une posture plus solide en matière de cybersécurité dans les quatre domaines stratégiques suivants : l’évaluation des risques, la préparation aux failles de sécurité, la gouvernance des données et la gestion de la conformité.

ÉVALUATION DES RISQUES : COMPRENDRE LES RISQUES LIÉS À L’ENTREPRISE ET À LA CYBERSÉCURITÉ

L’Article 32 du RGPD souligne les éléments d’une procédure d’évaluation des risques de sécurité visant la conception et la mise en œuvre de contrôles appropriés. Une procédure efficace d’évaluation permet d’accélérer l’identification des liens entre les risques et les contrôles internes. Cela a pour effet de réduire les manquements en matière de conformité au RGPD et d’améliorer les stratégies d’atténuation des risques, tout en donnant aux entreprises un plan d’action pour renforcer leur posture en matière de cybersécurité.

La suite RSA Archer donne aux entreprises les moyens de gérer toutes les dimensions du risque grâce à des solutions créées à partir des standards et des meilleures pratiques de l’industrie. Ces solutions sont réunies dans une seule et même plateforme logicielle intégrée et configurable. Les autres cas d’usage en soutien des processus critiques liés au RGPD sont :
• RSA Archer Security Incident Management permet de répondre au flot d’alertes de sécurité, et de mettre en œuvre un processus maitrisé afin de prioriser, étudier et résoudre les incidents.
• RSA Archer Security Operations and Breach Management étend le processus de gestion des incidents en ajoutant du workflow pour les violations de données et une gestion de toute l’équipe de sécurité.
• RSA Archer Issues Management aide les entreprises à gérer les problèmes liés à l’évaluation et l’audit des risques et des contrôles.
• RSA Archer IT Risk Management accélère l’identification des risques informatiques liés à la conformité au RGPD et améliore la stratégie des entreprises pour l’atténuation des risques.
• RSA Archer IT & Security Policy Program Management fournit le cadre qui aide les entreprises à établir un environnement évolutif et flexible, pour pouvoir documenter et gérer les politiques et procédures de conformité.
• RSA Archer IT Controls Assurance donne un cadre et un système de classification qui aident les entreprises à systématiquement documenter leurs actions de contrôle. Cela leur permet d’évaluer et de rendre compte de la performance des contrôles à tous les niveaux de l’entreprise et pour tous les processus.
• RSA Archer Third Party Catalog permet de documenter toutes les relations et engagements établis avec des tiers et l’ensemble des contrats associés, dans le but d’identifier et de suivre ces parties externes liées au RGPD.

RÉPONSE AUX VIOLATIONS DE DONNÉES : LA VISIBILITÉ EST INDISPENSABLE

Bien entendu, les équipes de sécurité ont toutes pour objectif d’empêcher ce type de failles. Cependant, elles n’y parviennent pas toujours. L’Article 33 du RGPD précise les exigences spécifiques relatives à la notification d’une violation de données à caractère personnel à l’autorité de contrôle compétente. Ces exigences rendent indispensable une parfaite compréhension de ce qui constitue une violation de données.C’est pour cette raison que la plupart des exigences relatives à la protection des données se concentrent sur la réponse aux violations et leurs notifications.

Par ailleurs, le RGPD exige que les entreprises soient en mesure de gérer la notification aux autorités de contrôle dans un délai de 72 heures après avoir pris connaissance de la violation. Dévoilée au début de l’été, la dernière version de la suite RSA NetWitness® permet de scanner l’intégralité de l’infrastructure pour rechercher les signes d’une attaque et d’assurer une notification plus rapide. Elle s’appuie sur l’analyse des comportements et le machine learning pour aider à mieux comprendre la portée et la nature d’une violation, ceci en offrant une visibilité accrue et une meilleure compréhension de l’étendue et de la nature de la violation.

LA GOUVERNANCE DES DONNÉES IMPLIQUE LA GESTION DES IDENTITÉS

Une autre composante essentielle de la conformité au RGPD consiste à contrôler qui a accès aux données. Les entreprises doivent protéger les données à caractère personnel de différentes manières et avoir une approche raisonnable dans la conservation d’enregistrements précis. Le RGPD vise ici les activités de traitement, y compris les catégories de données à caractère personnel traitées, la finalité du traitement et les catégories de destinataires des données à caractère personnel, les transferts à des pays tiers hors zone euro, ainsi que l’application des mesures de sécurité techniques et organisationnelles appropriées.

La suite RSA SecurID®, qui inclut RSA SecurID® Access et RSA® Identity Governance and Lifecycle, permet aux entreprises, quels que soient leur taille et leur degré de maturité, de minimiser les risques en matière d’identités et d’offrir à leurs collaborateurs un accès pratique et sécurisé. En tirant parti d’outils d’analyse des risques et du contexte, SecurID garantit que les bonnes personnes disposent des droits d’accès au moment opportun et sur n’importe quel équipement. Ces produits jouent un rôle essentiel dans la réponse au besoin fondamental de protection des identités et des accès.

GESTION DE PROGRAMME : LA CONFORMITÉ N’EST PAS UNE FIN EN SOI

La gestion du programme de conformité permet d’établir un cadre évolutif et flexible pour documenter et gérer les politiques et procédures imposées par le RGPD. Cependant, à l’image de la sécurité d’entreprise, la conformité au RGPD peut évoluer très rapidement, ce qui rend difficile la réalisation de cet objectif.

RSA Risk and Cyber Security Practice propose un ensemble de services conçus pour aider les clients à développer une posture de Business-Driven Security™, mettre en place un centre opérationnel de sécurité avancé et à renforcer leur programme GRC. Afin de fournir une offre produit complète, RSA soutient la mise en œuvre et le suivi pour aider ses clients à optimiser l’investissement qu’ils ont déjà fait dans les produit RSA.

• RSA Risk Management Practice fournit des services de conseil stratégique visant à optimiser le programme de gestion de la gouvernance, des risques et de la conformité d’une entreprise. Cette solution offre également des services de renforcement des effectifs et de support technique pour faciliter la planification, la mise en œuvre, le déploiement et la mise à niveau des produits et services RSA, y compris la suite RSA Archer.
• Les services RSA Advanced Cyber Defense Practice assistent les équipes de sécurité dans l’élaboration des processus, des procédures, des workflows et de l’automatisation nécessaires pour garantir une réponse rapide et efficace aux violations de données et autres cyberincidents.
• RSA Incident Response Practice aide les entreprises à répondre aux failles de sécurité alors qu’elles se préparent à les notifier dans un délai de 72 heures, comme l’exige le RGPD
• RSA Identity Assurance Practice aide les entreprises à prévoir et mettre en œuvre des programmes complets de gestion des accès aux données protégées par le RGPD. En sachant qui a accès à quoi, les entreprises peuvent en fonction décider des conditions d’accès, mieux identifier les activités risquées et être en accord avec les exigences de conformité.

Avec une procédure claire et efficace pour faire remonter les problèmes identifiés au cours des tests de contrôle, les entreprises bénéficient d’une visibilité sur les risques et peuvent éliminer ces derniers au plus vite. Elles seront en mesure de réagir plus rapidement aux nouvelles problématiques, créant un environnement plus proactif et résilient tout en réduisant le coût de la conformité au RGPD.




Voir les articles précédents

    

Voir les articles suivants