Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sophos : La conformité au RGPD implique une organisation et le déploiement d’outils de sécurité

mai 2017 par Marc Jacob

Sophos lors d’une conférence utilisateur à fait le point sur le RGPD en apportant le Point de vue d’un éditeur de Sécurité. Pour lui il est urgent de mener des actions, en particulier de nommer un CIL, de déployer des solutions de chiffrement ou d’anonymisation des données à caractère personnel… afin d’être prêt pour le 28 mai 2018. Pour Michel Lanaspeze, Directeur Marketing, Sophos Europe de l’Ouest, la mise en place d’une organisation qui passe par la nomination d’un DPO, d’un registre des traitements, d’étude d’impact et d’outils de sécurité comme le chiffrement sont impératifs.

Sophos a été créée en 1985 au Royaume-Uni fait aujourd’hui partie des tout premiers éditeurs de sécurité européen non seulement par la prise de part de marché mais aussi par des acquisitions comme Utimaco, Astaro, Cyberoam, et tout récemment Invincea un spécialiste dans le domaine de l’Intelligence Artificielle. Sophos a lancé récemment Intercept X, une solution qui permet de faire dialoguer les End Point et la Sécurité réseau et prévenir les SI contre les ransomwares, les Exploit sans signature...

Selon Michel Lanaspeze le RGPD n’est pas une innovation car des types de loi semblable existent notamment aux Etats-Unis, ou dans d’autres pays européens. Comme la France. Historiquement, la France est une avec ces différentes législations comme la LCNE, Le paquet télécom, la création du CIL, la Loi pour la République Numérique. L’objectif du RGPD est d’unifier les législations pour l’ensemble des pays Européens. Lors d’un sondage Eurobaromètre montrent que les européens dans leur grande majorité sont préoccupés par la protection de leurs données à caractère personnel et de l’utilisation qu’en font leur fournisseurs.

Il rappelle que le RGPD s’impose sans transcription avec près de 4.000 amendements adoptés par la Commission Européenne. Le Conseil de l’Union Européenne l’a adopté le 14 avril 2016 et publie le 4 mai 2016. Il sera applicable le 28 mai 2018. Ce règlement contient un long préambule de 173 pages. L’essentiel des 99 articles se concentre en 12 articles sur le droit à la personne concernée, 20 sur les sous-traitants et 8 articles sur les voies de recours, les responsabilités et sanctions.

RGPD : une meilleure protection des données personnelles des citoyens

Pour les entreprises et organismes publics, l’avantage est qu’elles se trouvent face à une seule loi pour toute l’Europe et un guichet unique. Ce règlement s’applique aussi pour les entreprises non Européennes.

Pour les citoyens, elle permet une meilleure Sécurité des données, plus de contrôle pour les utilisateurs avec entre autre un consentement clair et explicite, la protection des enfants, droit d’être informé dans un langage clair et explicite, un droit d’accès aux données et de probabilité, un droit à l’oubli (article 17). De plus, il met l’accent sur des limitations claires du recours au profilage et la notification en cas d’atteinte aux données personnelles (articles 33 et 34).

Michel Lanaspeze a fait un focus sur la Sécurité des données en particulier l’article 32 qui mère en avant la nécessité de faire de la Sécurité by Design, la pseudonymisation et le chiffrement des données à caractère personnel.

En ce qui concerne la notification en cas de perte de données dans les 72h à l’autorité pour la France, la CNIL. Par contre, s’il y a eu du chiffrement ou toute autre mesure de protection pour dissimuler ces informations, il n’est pas nécessaire de notifier aux utilisateurs même s’il faut le faire à la CNIL dans le même délai.

En ce qui concerne les sous-traitants, l’article 28 indique que le responsable de traitement doit veiller à ce que les sous-traitants ont des garanties de protection suffisante. De plus, le responsable de traitement doit tenir un registre des activités de traitement. Cette obligation ne s’applique pas aux entreprises de moins de 250 salariés sauf cas spécifiques.

Par ailleurs, l’article 35 impose de faire des analyses d’impact lorsque le traitement automatisé des données concerne des fichiers de taille importante.

De plus, les articles 37 à 39 imposent la nomination d’un DPO pour toute entreprise qui gère des quantités importantes de données sensibles ou surveillent le comportement de nombreux consommateurs. Les articles 40 à 43 précisent pour leur part les codes de conduites et certification à suivre en particulier elle encourage les mécanismes à mettre en place des Labels, des certifications délivrées par des organismes agréés par l’autorité nationale.

Quant aux articles 60 à 76, ils mettent en place le Comité Européen de Protection des Données ou CEPD qui est l’organe de l’Union et se compose du chef d’une autorité de chaque Etat membre.

Enfin, les sanctions montent jusqu’à 20 millions d’euros ou 4% du CA monde consolidé au plus élevé des deux montants.

Michel Lanaspeze a de plus mis l’accent sur les lignes directrices du G29, le Groupe de Travail sur la protection des données qui est présidé par Isabelle Falque-Perrotin. Il signale que plusieurs avis ont été publiés comme par exemple celui sur le DPO, la portabilité, l’Autorité du chef de file, l’analyse d’impact...qui précisent les différents articles du règlement.

Il a rappelé les conseils de la CNIL qui commence par la désignation d’un pilote, la cartographie des traitements de données personnelles, prioriser les actions, gérer les risques par les analyses d’impact, organiser élus processus interne avec entre autre la Sécurité by Design, documenter la conformité.... Pour protéger les données personnelles le chiffrement ou toute autre méthode sont recommandées

Au niveau technique, Michel Lanaspeze explique qu’au-delà du chiffrement, il s’agit pour les entreprises de faire de la gestion du risque avec le déploiement d’antimalware, de la protection dès portable et périphériques de stockage...

En matière de chiffrement, Michel Lanaspeze conseille de faire du chiffrement intégrale du disque des fixe et portables, des clés USB, périphérique de stockage... de même pour les fichiers qui sortent par email, ou dans le Cloud... il recommande aussi pour les mobile l’utilisation de conteneurs. Pour Sophos, il faut tout chiffrer tout de façon automatique afin de simplifier le travail des administrateurs r les utilisateurs. Les solutions Sophos offrent la possibilité de synchroniser l’ensemble des postes des entreprises.




Voir les articles précédents

    

Voir les articles suivants