La RGPD, dit Règlementation Générale sur la Protection des Données constitue le nouveau texte de référence européen en matière de protection des données personnelles. Cette nouvelle légalisation, adoptée le 24 mai 2016, renforce et unifie la protection des données pour les individus de l’Union européenne.
Ça mise en vigueur prévue pour Mai 2018 renforce le besoin des entreprises à mettre en application les mesures nécessaires sur la protection des données, dans les plus bref délais.
La RGPD remplace la directive sur la protection des données (directive 95/46 / CE), qui était la base des lois européennes sur la vie privée depuis 1995. Comme la plupart des réglementations gouvernementales, la RGPD est un document complexe et sur certains points, ouvert à l’interprétation.
De ce fait chaque entreprise susceptible de stocker des données confidentielles sur leurs clients est soumise à cette réglementation. La RGPD couvre toutes les sphères de la protection des données. De l’acquisition, au stockage, au contrôle d’accès et la sécurité.
La bonne nouvelle est que de nombreux outils sont à disposition pour aider à acquérir, à mettre en place et à documenter les mesures à prendre pour satisfaire les exigences de la RGPD.
L’importance du chiffrement des données
La protection des données implique le chiffrement de data statique (stockage) mais aussi lorsque ces dernières sont en transit (email ou internet). Le chiffrement des données garantit une protection supplémentaire en cas d’attaques de hackers ou d’accès non autorisé à vos données et empêchera ainsi la lecture d’informations critiques.
Une solution de chiffrement inclut un cryptage complet du disque et des fichiers. Gardez en tête que le chiffrement des appareils portables peut être particulièrement difficile. Des technologies telles que BitLocker pourront crypter des disques entiers. Utilisez GFI EndPointSecurity pour détecter les périphériques de stockage chiffrés avec BitLocker. Configurez les autorisations et cryptez les périphériques non sécurisés. Un cryptage élevé (256-bit AES) devrait être utilisé pour crypter vos données personnelles.
Pour le chiffrement des données en mouvement, le protocole (TLS) fournira une authentification forte et protègera à la fois la confidentialité et l’intégrité de vos données via le trafic réseau. Les données personnelles peuvent être également protégées via un tunnel. Tout trafic Web contenant potentiellement vos données personnelles devront être protégées par le protocole HTTPS (chiffrement SSL). Pour l’échange de fichier SMB, attention de bien utiliser uniquement la version 3 (SMBv3). SMBv1 étant été le vecteur d’attaque des derniers ransomewares WannaCry et Petya qui ont fait des ravages au début de l’été 2017.
Sécurité réseau et prévention de la violation de données
La sécurité réseau couvre un large éventail de technologies et est au cœur de toute stratégie conçue pour protéger et sécuriser les données personnelles. Elle inclut la prévention des accès non autorisés depuis des attaques à distance, une gestion des correctifs de sécurité, une évaluation des risques de vulnérabilité, un pare-feu, une isolation réseau, etc.
Des solutions telles que GFI LanGuard et GFI OneGuard pourront améliorer la capacité d’une organisation à détecter les vulnérabilités du réseau avant qu’elles ne soient exploitées. Ces outils permettront aussi d’appliquer les correctifs de sécurité appropriés pour aider à vous protéger contre les violations de données ou les virus et autres Malware.
Les pare-feux de nos jours possède des sondes IPS (Intrusion Prevention System), tels que Kerio Control, vous pourrez mettre en place des mesures de sécurité réseau éloignant les hacker des données personnelles présentes sur votre réseau.
Les navigateurs Web sont les vecteur d’attaques préférés des logiciels malveillants et de la violations de données, il est donc important de s’assurer que les attaques Web n’entraînent pas l’exposition de vos données personnelles. Il existe de nombreuses options de sécurisation vos activités et transactions web. La configuration des paramètres du navigateur est une première étape de protection, mais une solution de surveillance web et de téléchargement de logiciels malveillants, tels que GFI WebMonitor, peut là aussi venir jouer un rôle important dans la protection de vos données personnelles.
Sécurité des courriers électroniques
Vos données personnelles sont souvent transmises par email. La protection des emails et des communications est donc là aussi une partie essentielle de la mise en vigueur de la conformité RGPD. Le déploiement d’une solution de sécurité de messagerie telle que GFI MailEssentials pourra ainsi fournir une protection à plusieurs niveaux: le scan de virus et de logiciels malveillants, et vous permettra aussi de définir et appliquer des stratégies de contenu pour empêcher les utilisateurs de délibérément ou involontairement participer à la fuite de données personnelles en violation des règles RGPD.
Surveillance de la sécurité et réponse aux incidents
La surveillance des indications d’infractions ou d’incidents de sécurité est une exigence de la RGPD, et il existe de nombreuses solutions sur le marché. Le système d’exploitation Windows Server fournit des journaux d’événements de sécurité (event logs), mais il peut être difficile de trouver ce que vous cherchez sans une solution qui vous aide à détecter facilement et en temps réel les activités suspectes afin d’y répondre le plus rapidement possible. En cloud, Azure Security Center de Microsoft pourra vous aider à surveiller les événements de sécurité et à configurer des alertes pour détecter les menaces.
La documentation est également cruciale lorsqu’il s’agit de conformité. En effet, vous ne devrez pas seulement être capable d’agir, mais également de démontrer quand et comment les mesures de sécurité ont été prises.
Une solution de gestion des événements telle que GFI EventsManager vous donnera la visibilité nécessaire sur les questions liées à la sécurité, les mécanismes, les activités et les applications pour une réponse aux incident plus rapide. Il permettra aussi des données de journal à trois couches (three-layer log data Consolidation) pour les rapports de conformité protégés par une authentification à deux facteurs. Une telle information peut également être utile dans la préparation d’un DPIA (Data Protection Impact Assessment).
Audit et rapports
L’audit de réseau fait partie du processus de test, d’identification et d’évaluation de l’efficacité de vos mesures de sécurité réseau, spécifiquement mandaté par la RGPD. GFI LanGuard, déjà mentionné ci-dessus, fournira également une analyse centralisée, ainsi qu’un audit de votre réseau comprenant les applications et les configurations pouvant présenter un risque de sécurité. Cela vous permettra d’afficher l’état des applications de sécurité, des ports ouverts, des partages de fichiers et une vue des périphériques et applications sur votre réseau, qui peuvent tous avoir un impact sur le niveau de protection fourni aux données personnelles sur votre réseau.
Solutions matérielles
Déployer des solutions pour gérer l’accès au réseau, les virus et logiciels malveillants, la détection et la prévention d’intrusions, le VPN et le filtrage de contenu Web, peut être coûteux et peut rapidement se transformer en de frais généraux massifs. Les TPE et PME aux budgets serrés, peuvent cependant bénéficier d’un dispositif de gestion unifiée des menaces (UTM) servant de pare-feu, routeur, IPS, AV, anti-malware, passerelle VPN et web et application filtre.
La série de dispositifs UTM (d’appliances matérielles) Kerio Control NG offre une protection qui aidera à répondre aux exigences de sécurité de la nouvelle réglementation et produira également des rapports pouvant être utiles pour documenter la mise en place de vos mesures de conformité de la GDPR.
source : www.gfi.com
Inscrivez-vous sans plus attendre à nos Webinaire, ou regardez les en différé sur notre chaîne youtube .
A bientôt !
E.R.