RGPD - VORMETRIC by THALES : faciliter la cartographie et la protection de vos données - volet 1

Face à la complexité des environnements IT et des organisations satellitaires, face aux existants et autres choix de sécurité déjà en place dans l’entreprise, quel est l’effort à fournir par les grandes ou petites entreprises aujourd’hui pour se conformer à la réglementation européenne ?

Comment s’approprier (ou se réapproprier) ses systèmes d’information et cartographier de façon efficiente ses données sensibles ? Comment les protéger ensuite de façon simple et efficace tout en gardant résilience et souplesse d’organisation ? En bref, comment simplifier une équation qui s’est complexifiée au fil des années et que la RGPD tend à rationnaliser aujourd’hui ?

Autant de questions, qui pourraient alors expliquer pourquoi de nombresuses entreprises françaises ne sont pas, du moins encore, au rendez-vous.

Pour des systèmes d’information qui sont la plupart du temps très complexes, éclatés en plusieurs sous-systèmes, partagés entre plusieurs sous-traitants, la tache de cartographie des données peut vite s’avérer un casse-tête, ce, avant même de réellement protéger les données…

La difficulté RGPD est donc réelle et peut se décliner selon trois axes : réglementaire, technique et organisationnelle. Trois axes qui doivent converger au maximum.

Comme le rappelle la CNIL la première des étapes est de designer un chef d’orchestre en charge de mener à bien le projet RGPD dans l’entreprise. Des lors, ce responsable désigné à la protection des données peut se poser la question par où commencer ?

La RGPD se veut pragmatique et vise à inciter (fortement !) l’entreprise à se concentrer sur les données personnelles qu’elle peut avoir en sa possession (directement ou indirectement via sous-traitants). La CNIL, dans son processus de mise en conformité - étape n.2 (« Cartographie des données »), invite alors à se poser les questions suivantes : Qui ?, Quoi ?, Quand ?, Ou ?, Comment ? Et enfin (et peut être la plus importante de toutes) Pourquoi ? Interrogeant quant à la finalité du traitement.

Cela suppose alors d’identifier : les services, les applicatifs, les processus, les répertoires sensibles, les équipes internes, sous-traitants et autres entités impliqués dans ces traitements, ce avec tous les mouvements de flux que cela induit. Des documents déjà existants peuvent faciliter la tâche mais force est de constater que trop souvent ces documents se révèlent incomplets. L’exercice se complique encore plus lorsque des traitements isolés (asynchrones) et automatisés sont en place (typiquement des cronjobs de migration tournant la nuit par exemple), ou encore des traitements (ou scripts) de données, exécutés automatiquement en cascade, permettant par exemple la constitution d’une facture cliente.

Au travers de la plateforme de protection des données VORMETRIC, THALES propose une solution qui facilite cette mise en conformité RGPD au regard de ces problématiques. En effet, la solution VORMETRIC TRANSPARENT ENCRYPTION (VTE) permet non seulement de cartographier toutes les accès aux données sur un serveur de données, via un mode d’apprentissage, mais aussi dans le même temps de préparer les politiques de sécurité ultérieures qui protègeront les données retenues à l’issue de cette étude d’apprentissage.

Ainsi, la solution VTE facilite :

 L’extrapolation des traitements et donc la constitution d’un registre exhaustif

 La protection des données

Vis-à-vis des besoins (pressants) qu’insuffle la RGPD, cette solution de protection est donc intrinsèquement une solution immédiate ! A noter qu’on a souvent tendance à considérer uniquement les fichiers issus de « repository » métier (fichiers de base de données par exemple). Mais il faut garder à l’esprit que les fichiers de logs applicatifs ou fichiers de configuration annexes (applicatif ou pas) peuvent être tout aussi sensibles…

QUI ? => révèle les utilisateurs, processus

QUOI ? => ressources : répertoires, fichiers

QUAND ? => révèle la date et l'heure de l’interaction avec la donnée

COMMENT ? => révèle avec précision le type d’interaction (lecture, écriture) et éventuellement la clé si celle-ci a été utilisée

La règlementation RGPD bouscule donc les entreprises aujourd’hui et met en lumière que la difficulté n’est pas toujours d’ordre technique mais aussi organisationnelle.

Pour plus d’informations sur la plateforme VORMETRIC :

https://www.thalesesecurity.fr/products/data-encryption/vormetric-data-security-platform

A disposition.