Qu'est-ce que le règlement général sur la protection des données (RGPD) ?
Le règlement général sur la protection des données (RGPD) est la loi de l'Union européenne (UE) sur la protection des données personnelles qui vise à protéger la vie privée des citoyens de l'UE. Promulguée en mai 2018, elle impose un ensemble unifié de réglementations à toutes les organisations qui traitent des données personnelles provenant de l'UE, quel que soit leur emplacement.
Étant donné que le RGPD s'applique à toute organisation qui traite des données personnelles provenant de l'UE (y compris celles d'organisations situées hors UE), il importe pour toutes les organisations d'évaluer sa conformité et de respecter les obligations définies dans ce règlement.
Il prévoit des répercussions conséquentes en cas de non-conformité, avec des amendes à hauteur de 20 millions d'euros ou 4 % des revenus annuels de la société mère, en retenant le plus élevé des deux montants.
Quelles données doivent être protégées en vertu du RGPD ?
Sont considérées comme données personnelles toutes les informations utilisables pour identifier un individu. En voici quelques exemples :
- Noms
- Numéros d'identification
- Données de localisation
- Caractéristiques identifiables, qu'elles soient physiques, physiologiques, génétiques, commerciales, culturelles ou sociales
- Coordonnées telles que les numéros de téléphone et les adresses
- Numéros de carte de crédit ou coordonnées bancaires
- Numéros de personnel ou de clients
- Données de compte
- Numéros de carte grise et plaques d'immatriculations
En plus de protéger les données personnelles générales mentionnées ci-dessus, le RGPD nécessite également un plus haut niveau de protection pour les données personnelles sensibles. Citons par exemple les types de données suivants :
- Données génétiques, biométriques et de santé
- Données raciales et ethniques
- Affiliations politiques
- Convictions religieuses ou idéologiques
- Adhésions syndicales
Bien que le RGPD s'applique spécifiquement aux données personnelles provenant de l'UE, nombre d'entreprises choisissent d'appliquer ses exigences à tous les clients, où qu'ils se trouvent. En effet, il peut s'avérer peu pratique, complexe et coûteux d'entretenir au moins deux politiques de données et les infrastructures correspondantes. C'est pourquoi de nombreux clients situés en dehors de l'UE bénéficient également de la sécurité offerte par le RGPD.
Comment le RGPD traite-t-il de la cybersécurité ?
La protection des données est une composante essentielle de la cybersécurité et de la conformité au RGPD.
Le RGPD décrit six principes bien précis exigés des entreprises lorsqu'elles traitent des données personnelles :
- Légitimité, équité et transparence
- Limitation de finalité
- Minimisation des données
- Limitation du stockage
- Intégrité et confidentialité
- Responsabilité centrale
Même si le RGPD contient des instructions spécifiques destinées aux organisations sur la manière de traiter les données personnelles de l'Union européenne, ces instructions demandent aux entreprises de faire appel à leur propre jugement (ou de consulter des experts) afin d'assurer le maintien de leur conformité.
Par exemple, l' article 5(1)(f) stipule que les organisations doivent garantir « une sécurité appropriée des données à caractère personnel à l'aide de mesures techniques ou organisationnelles appropriées. » afin d'assurer un niveau de sécurité adapté au risque encouru.
Cela soulève plusieurs points de réflexion importants et lourds de conséquences pour les organisations :
- Qu'est-ce qui constitue « une sécurité appropriée des données à caractère personnel » ?
- Qu'est-ce qui constitue des « mesures techniques et organisationnelles appropriées » ?
- Qu'est-ce qui constitue un niveau de sécurité adapté au risque encouru ?
- Vu la nature évolutive du cyber risque, comment les entreprises peuvent-elles s'assurer que les outils, politiques et processus mis en place offrent une couverture suffisante pour garantir la conformité globale sur le long terme ?
Le RGPD précise également d'autres points importants relatifs à la conformité d'une organisation. Par exemple, toute compromission de données qui expose les individus à un risque doit faire l'objet d'un rapport dans les 72 heures suivant la détection de l'événement par l'organisation. Cela souligne le besoin pour les organisations de disposer d'un plan détaillé de réponse à incident, ainsi que de systèmes leur permettant d'évaluer rapidement l'événement et de collecter les informations nécessaires à transmettre aux cadres concernés.
Étude de cas : TDK Electronics
Sans surprise, TDK Electronics AG a fait de la sécurité informatique une priorité absolue. Avec des clients prestigieux, essentiellement issus des secteurs de l'automobile et de l'électronique industrielle, cette entreprise ne doit rien laisser passer en matière de cyberattaque. La solution basée sur le cloud de CrowdStrike® offre la protection complète sur laquelle TDK peut s'appuyer.
Télécharger maintenantQuels contrôles de sécurité devez-vous prendre en compte ?
Étant donné que le RGPD repose en grande partie sur l'évaluation du niveau de risque spécifique à l'organisation et la mise en place de mesures « appropriées » sur la base de ce risque, le RGPD ne décrit aucune solution de sécurité standard.
Cela dit, il existe plusieurs bonnes pratiques que les organisations doivent suivre pour comprendre les risques encourus et se protéger aussi bien des compromissions de données que des potentielles conséquences légales liées au RGPD.
Mettez en place des outils et politiques robustes de gestion des identités et des accès (IAM)
L'un des grands principes du RGPD repose sur le fait que les données personnelles collectées par l'organisation soient accessibles aux seuls employés motivés par un besoin précis et stratégique concernant ces données dans le cadre de leurs responsabilités professionnelles quotidiennes. Cela permet de garantir que l'accès aux informations personnelles identifiables (IPI) et aux données personnelles sensibles reste limité au plus petit nombre possible.
La gestion des identités et des accès (IAM) est un cadre qui permet aux équipes IT de vérifier l'identité d'un utilisateur et de confirmer ses droits d'accès. Même si l'IAM est largement applicable à tout système, réseau ou actif, dans le contexte du RGPD, elle concerne surtout l'accès aux données.
L'IAM intègre plusieurs stratégies d'accès sécurisé envisageables par les organisations. En voici quelques-unes :
- Zero Trust : une approche de sécurité qui impose une authentification, une autorisation et une validation constantes pour tous les utilisateurs, qu'ils soient à l'intérieur ou à l'extérieur du réseau de l'entreprise. Cette approche réalise une vérification permanente de leur configuration et de leur niveau de sécurité avant tout accès aux applications et aux données.
- Principe du moindre privilège (POLP) : concept et pratique de sécurité informatique qui consiste à octroyer aux utilisateurs des droits d'accès limités en fonction des tâches qu'ils doivent réaliser dans le cadre de leur travail. En vertu de ce principe, seuls les utilisateurs autorisés dont l'identité a été vérifiée disposent des autorisations nécessaires pour effectuer des tâches dans certains systèmes et applications ou accéder à certaines données ou ressources.
- Authentification multifacteur (MFA) : fonction de sécurité qui n'accorde l'accès à un utilisateur qu'après avoir vérifié son identité au moyen d'un ou plusieurs identifiants, en plus de son nom d'utilisateur et de son mot de passe. Il peut s'agir d'un code de sécurité envoyé par SMS ou par e-mail, d'un jeton de sécurité fourni par une application d'authentification, ou encore d'un identifiant biométrique.
Développez et mettez en place un programme de formation à la cybersécurité avec un module sur la confidentialité des données
Le RGPD se focalise sur la protection des données face aux risques de tout type. Ceci peut inclure les méthodes et outils de cybersécurité qui sécurisent les données et les protègent de compromissions extérieures, mais également les procédures entreprises et les politiques mises en place pour garantir un traitement approprié des données par les employés en interne.
Alors que les cybercriminels ont recours à un éventail de méthodes de compromission d'une organisation, l'une des plus communes (et souvent la plus aisée) consiste à cibler les employés par le biais d'attaques de phishing coordonnées ou d'autres techniques d'ingénierie sociale. Pour minimiser ce risque, les organisations doivent développer un programme complet de formation de leurs employés à la cybersécurité. Par ce biais, elles peuvent sensibiliser leurs collaborateurs au sujet des risques de sécurité les plus courants, encourager un comportement responsable sur Internet et mettre au point des procédures de réaction en cas d'attaque potentielle.
En outre, les employés ayant accès aux données personnelles sensibles doivent suivre des formations spéciales à la confidentialité des données afin de s'assurer de prendre les mesures nécessaires pour protéger et sécuriser ces données.
Mettez en place une solution complète de prévention des fuites de données (DLP)
La prévention des fuites de données (DLP, Data Loss Prevention) est une composante de la stratégie globale de sécurité des entreprises qui couvre la détection et la prévention des pertes, des fuites ou des utilisations abusives de données dans le cadre de compromissions, d'exfiltrations et d'utilisations non autorisées.
La prévention des fuites de données permet également aux entreprises d'identifier et de classer les informations personnelles sensibles et de s'assurer que leurs règles de protection des données sont conformes aux réglementations pertinentes en vigueur, notamment le RGPD. Une solution DLP correctement conçue et configurée simplifie la génération de rapports en vue de garantir le respect des exigences de conformité et d'audit.
En plus de l'identification et de la classification des données personnelles sensibles, certaines solutions DLP peuvent suivre par horodatage l'accès, le partage ou le téléchargement de ces données et transmettre des alertes aux membres d'équipe concernés.
Permettre les techniques de dissimulation de données, notamment la pseudonymisation et l'anonymisation avec la DLP
Un autre composant de la DLP consiste à protéger les données via des techniques de dissimulation.
La dissimulation des données est le processus qui consiste à déguiser des données confidentielles ou sensibles afin de les protéger contre tout accès non autorisé. Voici quelques tactiques de dissimulation des données :
- Masquage des données : également appelé anonymisation des données, il s'agit d'une technique de dissimulation des données par laquelle les données sensibles telles que les clés de chiffrement, les informations personnelles ou les jetons d'authentification et les identifiants sont chiffrés dans les messages journalisés. Le masquage des données modifie la valeur des données tout en utilisant le même format pour les données masquées.
- Pseudonymisation : il s'agit d'une technique de dissimulation des données par laquelle les organisations peuvent dépersonnaliser un bloc de données en remplaçant les champs d'informations personnellement identifiables par une entrée fictive, ou pseudonyme.
- Chiffrement : le chiffrement des données est une méthode de protection des informations qui les convertit en un format codé, appelé texte chiffré. Ce texte ne peut être déchiffré qu'avec la clé de chiffrement appropriée.
- Tokenisation : la tokenisation des données consiste à remplacer un élément de données sensibles par une autre valeur, appelée jeton (token), qui n'a aucune signification ou valeur intrinsèque. Cette technique rend les données inutilisables pour un utilisateur non autorisé.
Nous recommandons aux entreprises ou secteurs à hauts risques d'envisager la mise en place d'une solution de gestion des risques internes (IRM)
Une menace interne est un risque de cybersécurité qui émane de l'intérieur de l'entreprise — généralement un ex-employé ou un collaborateur toujours en poste, ou toute autre personne ayant un accès direct au réseau, aux données sensibles et aux éléments de propriété intellectuelle de l'entreprise, et connaissant les processus métier, les règles d'entreprise ou d'autres informations utiles pour lancer une attaque.
Lorsqu'il s'agit de conformité au RGPD, la gestion des risques interne (IRM, une solution qui apporte de la visibilité sur une activité utilisateur à haut risque, ce qui aide les équipes SOC et menace interne à détecter, examiner puis contrer la compromission de données sensibles par des utilisateurs internes) peut devenir un recours de choix. En effet, les utilisateurs internes peuvent souvent causer plus de dégâts que les cybercriminels extérieurs au niveau des données personnelles. Par exemple, ces utilisateurs internes savent généralement où se trouvent les données, comment y accéder et, dans certains cas, quelles sont les lacunes des systèmes de détection. La confiance implicite et l'accès accordés aux employés, de même que leurs connaissances institutionnelles, peuvent rendre les activités à risque difficiles à distinguer des usages autorisés.
L'IRM devient de plus en plus important à mesure que les modèles de travail à distance ou hybride continuent de se développer et que les employés obtiennent l'accès à des systèmes et données via plus d'applications et de messageries que jamais pour augmenter la productivité.
Dans l'état actuel des choses, la DLP et l'IRM sont souvent deux solutions de sécurité séparées et distinctes. Toutefois, alors que la protection des données devient un élément central de la plupart des programmes de cybersécurité, ces deux solutions commencent à converger.
Développez un plan de réponse à incident (IR)
Étant donné que le RGPD stipule que les organisations doivent signaler une compromission de données à l'Autorité de protection des données dans les 72 heures, les organisations qui gèrent des données personnelles européennes doivent justifier d'un plan clair pour faire face à de tels événements.
La réponse à incident (IR) englobe les procédures suivies par les entreprises pour se préparer à une compromission de données, la détecter, la confiner puis rétablir les systèmes.
L'une des parties les plus importantes du plan de réponse à incident vis-à-vis du RGPD est la notification d'incident. Cela intègre toutes les notifications, internes comme externes, à émettre après analyse et classement prioritaire d'un incident. Cet aspect du plan est également censé comporter des exigences de signalement spécifiques au RGPD ou toute autre réglementation pertinente.
Protection des endpoints et gestion des vulnérabilités
Les endpoints sont le point névralgique de la perte de données de grande valeur. Non seulement les données d'entreprise transitent et restent stockées sur les terminaux, mais elles servent également à authentifier les utilisateurs et les identités, ainsi qu'à accéder aux référentiels de code, aux workloads dans le cloud, aux applications SaaS et aux fichiers. Cela fait de la protection des endpoints, à savoir l'approche de cybersécurité visant à défendre les endpoints contre les activités malveillantes, un élément important du maintien de la conformité au RGPD.
De même, la gestion des vulnérabilités, soit le processus permanent et régulier d'identification, d'évaluation, de production de rapports, de gestion et de correction des cybervulnérabilités sur tous les endpoints, workloads et systèmes, représente une autre mesure critique. La gestion des vulnérabilités est une vaste catégorie qui peut englober les mises à jour et applications de correctifs logiciels pour la protection contre les dernières cybermenaces et exploits.
Tirez parti des SIEM et des SOAR pour automatiser les flux de travail et rationaliser l'activité de mise en conformité avec le RGPD
Le RGPD assujettit les organisations à un certain nombre d'exigences de production de rapports. Les solutions de sécurité centralisées comme les SIEM et les SOAR comportent souvent des capacités de mise en conformité intégrées qui collectent automatiquement des données via différents outils et logiciels avant de les agréger en un rapport unique. Vous pouvez personnaliser ces rapports pour maintenir la conformité avec les exigences du mandat du RGPD ainsi que d'autres réglementations.
Vous pouvez également configurer les systèmes SIEM et SOAR pour émettre des alertes en cas de violation. Ceci donne aux équipes IT une visibilité précieuse sur les risques potentiels et les aide à les contrer plus rapidement, ce qui non seulement limite l'impact potentiel de la compromission, mais également les cas de non-conformité.
CrowdStrike vous aide à vous conformer au RGPD
La cybersécurité joue un rôle essentiel dans la protection des données et la conformité au RGPD. L'offre de produits nouvelle génération, les services professionnels et l'expertise globale de CrowdStrike peut aider les organisations à remplir leurs obligations en matière de RGPD.
La plateforme CrowdStrike Falcon® a été conçue avec la protection des données à l'esprit. Le modèle collaboratif basé sur le cloud de CrowdStrike se focalise sur l'identification en temps réel des indicateurs d'attaque (IOA) afin de prévenir les cybermenaces inconnues de demain, plutôt que de se limiter aux compromissions connues du passé.
La plateforme Falcon donne également la possibilité aux clients d'empêcher les compromissions par la mise en place de mesures de protection de pointe avec transparence, portabilité, minimisation des données et proportionnalité afin de protéger les entreprises et de promouvoir leurs intérêts légitimes tels que cités dans les attendus 47, 48 et 49 du RGPD.