Gouvernance des données pour la conformité au RGPD : les solutions Lenovo
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Sécurité :
Gouvernance des
données pour la
conformité au
RGPD : les
solutions Lenovo
Introduction
Le Règlement général sur la protection des données de l’UE (RGPD) est une tentative historique de
moderniser la législation régissant la sécurité des informations personnelles sur le continent européen et
de l’adapter à la nouvelle ère du numérique. Venant remplacer la directive sur la protection des données
personnelles de 1995 (transcrite dans la loi anglaise sous la forme du « Data Protection Act »), le RGPD
est sur le point de doter les consommateurs de l’UE d’un certain nombre de droits concernant la manière
dont leurs informations personnelles identifiantes (Personally Identifiable Data - PII) sont utilisées. Pour les
entreprises, cela se traduit par un nouvel ensemble d’exigences strictes à respecter.
Ce texte de 81 pages, dont l’élaboration a pris plusieurs années, couvre un large éventail de domaines,
allant de la portabilité des données et du consentement de l’utilisateur au respect de la vie privée dès la
conception et au droit à l’effacement. Toutefois, l’un de ses principaux objectifs est de faire baisser le nombre
de fuites de données préjudiciables qui se produisent dans le monde entier en améliorant les pratiques de
base en matière de protection des données. Cela a des implications majeures pour les équipes de sécurité
informatique.
Dans cette optique, il y a trois choses que
toutes les entreprises doivent savoir. Le RGPD :
• entrera en application le 25 mai 2018 ;
• s’applique aux entreprises du monde entier qui traitent des informations
relatives à des citoyens de l’UE (y compris le Royaume-Uni post-Brexit) ;
• peut donner lieu à des amendes pouvant s’élever à 20 millions d’euros ou 4 %
du chiffre d’affaires annuel, le plus élevé de ces deux montants étant retenu.
Malheureusement, il existe Cet eBook décrit dans Bien gérer la conformité
encore une grande confusion les grandes lignes ce que ne sert pas qu’à réduire les
concernant cette nouvelle Lenovo considère comme risques d’amende pour non-
législation, à qui elle les principales menaces de respect de la réglementation…
s’applique, et ce que les cybersécurité et les défis Cela peut aussi vous aider
entreprises doivent faire pour auxquels les entreprises sont à élaborer une culture
s’y conformer. Pas plus tard confrontées dans le contexte d’entreprise centrée sur les
qu’en décembre, une étude des mesures techniques que le bonnes pratiques en matière
a révélé que plus de la moitié RGPD leur impose de prendre. de cybersécurité, un aspect
(57 %) des professionnels Il explique ensuite comment qui sera de plus en plus
de la cybersécurité ont des les technologies Lenovo considéré comme un atout
inquiétudes concernant la peuvent vous aider à gérer vos concurrentiel à mesure que les
conformité au RGPD, mais stratégies de conformité vis-à- consommateurs s’intéresseront
aussi que plus d’un tiers vis des règles de gouvernance davantage à la protection de
d’entre eux ne considèrent pas des données. leurs données.
du tout ce sujet comme une
priorité. Au Royaume-Uni, des
statistiques gouvernementales
de janvier 2018 suggèrent
même qu’il n’y aurait que
38 % des entreprises qui
2 ont entendu parler du RGPD.
Les menaces de cybersécurité
Le RGPD, comme d’autres législations récentes régissant la confidentialité et la
protection des données ailleurs dans le monde, peut être vu comme une réponse
au nombre croissant de cybermenaces et aux immenses problèmes de sécurité
auxquels les entreprises sont confrontées.
Il s’agit notamment des choses suivantes :
• Attaques par hameçonnage (phishing) visant des employés
• Vol d’informations par des logiciels malveillants et des rançongiciels (ransomware)
• Divulgation de données à la suite d’une mauvaise manipulation par des employés
Ces menaces constituent un danger bien réel et omniprésent pour les entreprises. Concrètement,
un fournisseur de solutions de sécurité indique avoir bloqué plus de 38 milliards de menaces
uniques rien qu’au cours des six premiers mois de 2017, dont 82 millions liées à des rançongiciels.
Une autre étude montre que des techniques de phishing ont été utilisées dans plus de 90 % des
fuites de données et des incidents de sécurité en 2016.
Selon l’ICO (Information Commissioner’s Office), l’organisme chargé de la protection des données
au Royaume-Uni (qui pilotera l’application du RGPD dans le pays), la quantité d’incidents liés à la
sécurité des données qui lui ont été signalés au 2e trimestre 2017/2018 a bondi de 15 % par rapport
à la même période un an plus tôt.
L’erreur humaine (publier accidentellement des données sensibles sur un compte OneDrive
partagé, envoyer un e-mail au mauvais destinataire, exposer des informations sur un site Web
public, etc.) reste la principale cause de ces incidents.
Au-delà des statistiques, la liste toujours plus longue de failles de sécurité et de fuites de données
de grande envergure auxquelles sont confrontées des organisations comme Yahoo, Equifax,
Uber et Verizon montre bien que même les multinationales les plus fortunées peuvent être
prises en défaut. La découverte récente de 1,4 milliard d’identifiants dérobés sur un site du
Dark Web montre aussi clairement les difficultés qui subsistent autour de la protection des
informations d’identification des employés, alors que celles-ci permettent aux pirates d’entrer
par la grande porte !
3Mesures techniques :
quel niveau de sécurité
faut-il appliquer ?
Contrairement au précédent régime de protection des données, le RGPD est un règlement,
ce qui signifie qu’il doit être mis en œuvre « tel quel » par les États membres de l’UE, avec
un minimum de changements. Cela inclut le Royaume-Uni, ce qui a conduit le Parlement
britannique à adopter le « Data Protection Bill » pour inscrire les mêmes règles dans la
législation post-Brexit.
Alors, que dit au juste le RGPD concernant les contrôles de sécurité ?
Si vous cherchez une liste claire de fonctionnalités à implémenter dans votre entreprise, vous
allez être déçu : ce nouveau règlement est centré sur les processus et ne préconise donc pas de
technologies spécifiques. L’article 32, qui concerne la « sécurité du traitement », stipule que les
organisations doivent mettre en œuvre « les mesures techniques et organisationnelles appropriées
afin de garantir un niveau de sécurité adapté au risque ». Spécifiquement, cela peut inclure :
• la pseudonymisation et le chiffrement des données à caractère personnel ;
• des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité
et la résilience constantes des systèmes et des services de traitement ;
• des moyens permettant de rétablir la disponibilité des données à caractère
personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident
physique ou technique ;
• une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité
des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Les défis qui attendent les
entreprises de taille moyenne
Les menaces auxquelles sont confrontées les entreprises de taille moyenne
découlent de plusieurs tendances qui affectent leur manière de travailler :
• L’explosion du travail mobile (et donc des ordinateurs
portables et des appareils mobiles)
• La fin de la pertinence de la « sécurité de périmètre »
• Les utilisateurs qui accèdent à des services Cloud et à des données
directement sur leurs portables et leurs appareils mobiles
4Qu’est-ce que cela signifie ?
Les responsables IT ont besoin d’une approche de défense en profondeur de la sécurité
qui soit centrée sur le terminal, lequel constitue le principal point d’intrusion des pirates
et la principale manière dont les fuites de données se produisent à la suite d’une négligence
de la part d’un employé.
Selon le cabinet d’analystes Forrester :
« La sécurité des terminaux constitue la ligne de front dans votre combat contre les
cyberattaques. Les failles de sécurité sont devenues monnaie courante dans les entreprises,
et vos serveurs et les terminaux de vos employés sont plus ciblés que n’importe quel autre
type d’actif. »
Yasser Rasheed, responsable mondial de la sécurité des terminaux chez Intel, recommande
trois bonnes pratiques :
Protéger les données
Le chiffrement intégral de disque (FDE) est largement utilisé, mais, même
s’il constitue une bonne pratique de base, il est inadapté s’il est mis en œuvre
01 au niveau logiciel. Cela est dû au fait que cela nécessite de prendre la clé de
chiffrement locale au niveau matériel et de la stocker en mémoire pendant que
le PC est en fonctionnement, ce qui la rend piratable. Intel recommande aux
organisations de commencer par identifier et chiffrer leurs données sensibles
au niveau matériel (fichiers et dossiers).
Protéger l’accès aux données
Quel que soit le niveau de protection des données, si les clés virtuelles
associées ne sont pas elles-mêmes protégées, les pirates y accéderont
facilement.
Aujourd’hui, l’accès est basé sur le profil : qui vous êtes et votre rôle au sein
de l’entreprise. Mais une sécurité basée sur une combinaison statique de type
« nom d’utilisateur-mot de passe » est très fragile. Selon le rapport DBIR de
02 Verizon, 81 % des attaques qui ont conduit à des fuites de données en 2016
ont tiré parti de mots de passe dérobés ou trop faibles. Intel recommande
donc de mettre en place une authentification multifacteur (MFA) basée
sur des systèmes biométriques au niveau matériel.
[Citation de Yasser Rasheed : « Protéger les identités doit être la priorité
absolue. Qu’il s’agisse d’accéder à des données situées sur le PC local ou
dans le Cloud, via ce PC, nous conseillons à toutes les entreprises de changer
leurs mécanismes de contrôle d’accès pour passer à l’authentification
multifacteur au niveau matériel. »]
Faciliter la conformité via la journalisation
03
Disposer d’un mécanisme de journalisation sécurisé au niveau matériel
est essentiel pour être en mesure de prouver que vous respectez les
consignes 1 et 2. Même si vous suivez à la lettre les bonnes pratiques,
il est important de pouvoir le prouver aux autorités de régulation.
5Comment Lenovo peut
vous aider
Heureusement, Lenovo est là pour vous aider !
Le RGPD encourage les entreprises (qu’elles traitent des données ou en contrôlent)
à investir dans les outils de pointe susceptibles de les aider à faire la preuve de leur
conformité et de leur respect des bonnes pratiques.
Lenovo combine des partenariats avec les leaders du secteur de la sécurité, ses propres
solutions logicielles et matérielles, et ses services pour aider ses clients à gérer différents
aspects du RGPD. Nous vous aidons à faire cela en sécurisant vos données et vos accès,
mais aussi en vous proposant des solutions de sauvegarde.
Matériel
dTPM : fonctionnalité intégrée sur tous les modèles ThinkPad, ThinkCentre et ThinkStation,
le module dTPM (discrete Trusted Platform Module) chiffre toutes les données utilisateur,
y compris les mots de passe.
Windows Hello : utilise des capteurs biométriques pour reconnaître l’utilisateur, ce qui apporte
à celui-ci une protection de classe entreprise tout en lui permettant d’utiliser simplement son
visage pour déverrouiller son appareil.
Reconnaissance d’empreinte digitale Match-on-Chip : en 2004, le ThinkPad T42 a été le
premier portable équipé d’un lecteur d’empreinte digitale intégré. Depuis, nous avons continué
à moderniser et améliorer notre technologie de lecteur d’empreinte digitale et l’expérience
utilisateur. La toute dernière solution Match-on-Chip assure une authentification plus sécurisée
en réduisant les risques de piratage des informations d’empreinte digitale.
Et vous pouvez encore renforcer la sécurité avec Intel Authenticate.
Effacement des données à distance : les produits Lenovo font gagner du temps en évitant
d’avoir à effacer les disques manuellement grâce à Intel® Remote Secure Erase pour les SSD
Intel® qui sont gérés via la technologie Intel® AMT (Active Management Technology), ce qui
facilite l’effacement des SSD et accélère la suppression des clés de chiffrement.
Disques durs sécurisés : optimisé pour la sauvegarde des données critiques en déplacement,
le disque dur sécurisé ThinkPad offre une sécurité de haut niveau avec chiffrement AES
(Advanced Encryption Standard) 256 bits, en temps réel.
Câble de sécurité Lenovo : permet au client de mieux protéger l’accès physique aux appareils
au sein de l’entreprise. Il contribue à réduire les risques de vol en renforçant la protection
physique des portables et de leurs stations d’accueil, des PC de bureau et des écrans.
Protection des ports : le système de protection intelligente des ports contribue à prévenir
les vols de données et les risques de sécurité réseau dus à une utilisation non autorisée
de périphériques de stockage.
ThinkPad Glance : permet d’utiliser la caméra infrarouge pour verrouiller automatiquement
l’appareil lorsque l’utilisateur s’éloigne de celui-ci.
Filtres de confidentialité Lenovo : grâce à la technologie brevetée des micro-persiennes
développée par 3M, seules les personnes qui se trouvent juste en face de l’écran
peuvent voir distinctement ce qui est affiché sur celui-ci.
6Logiciels
Lenovo XClarity : Lenovo XClarity™ Administrator est une solution centralisée de gestion
des ressources qui vise à réduire la complexité, raccourcir les délais de réponse, et améliorer
la disponibilité des systèmes serveur et des solutions Lenovo. Lenovo XClarity intègre des
fonctionnalités telles que la gestion des firmwares et des configurations, le provisionnement
des systèmes d’exploitation, et la surveillance et la gestion du matériel. Il offre aussi un journal
d’audit qui fournit un historique des actions des utilisateurs (connexion, création d’utilisateur,
modification de mot de passe, etc.).
Lenovo Absolute : le service Lost & Found de Lenovo combine un logiciel et des outils de
sécurité fournis par Lenovo et Absolute Software avec des alertes supplémentaires pour
constituer une solution permettant de facilement restituer un PC volé à son propriétaire
légitime. Le logiciel fourni par Absolute Software piste l’ordinateur et fournit aux forces
de l’ordre locales les informations dont celles-ci ont besoin pour le récupérer.
Services et support
Service Lenovo de sauvegarde en ligne des données (OLDB) : Lenovo OLDB constitue
une solution puissante pour la sauvegarde des données des terminaux. S’appuyant sur
le service Mozy by EMC, OLDB peut vous apporter une totale tranquillité d’esprit en vous
garantissant que les données de votre entreprise sont à l’abri, sécurisées et disponibles
quand vous en avez besoin.
Services de chiffrement : le chiffrement de disque est essentiel pour bloquer les accès
non autorisés aux données ainsi que les attaques plus sophistiquées. Les services de
chiffrement de Lenovo protègent automatiquement toutes les données situées sur le PC.
Service Lenovo de conservation du disque (KYD) : vous permet de conserver votre
disque Lenovo et les données qu’il contient, ce qui renforce la sécurité et évite les risques
de poursuites. Cela vous permet de gérer l’élimination de ces données professionnelles
comme vous le souhaitez, et aide votre organisation à se prémunir contre les répercussions
juridiques et financières découlant des fuites d’informations.
Gestion de la fin de vie des produits (PELM) : couvre la réutilisation, le reconditionnement,
la défabrication, le démontage, la récupération, le broyage, le traitement et l’élimination
physique des produits, composants et options qui sont mis hors service, atteignent leur
fin de vie et/ou sont mis au rebut.
Cela permet de s’assurer que ni des données personnelles ni des données professionnelles
ne tomberont jamais entre de mauvaises mains.
7Conclusion
Le RGPD constitue une évolution majeure de la législation européenne en matière de
protection des données qui impose de nouvelles exigences d’une grande rigueur aux
entreprises, que celles-ci traitent ou contrôlent des données. Il va entrer en vigueur avec
des pénalités financières potentielles très élevées en cas d’infraction. Les entreprises
doivent donc se familiariser avec cette nouvelle législation, revoir leurs processus et
leurs contrôles en matière de sécurité, et identifier les éventuelles failles pour y remédier
au plus vite.
Voici quelques autres sources d’informations qui seront
utiles aux responsables IT et aux directeurs de la conformité :
Information Commissioner’s Office
Groupe de travail « Article 29 »
Hiscox
Bird & Bird
Groupe CharityFinance
Lenovo™ se réserve le droit de modifier les caractéristiques, les prix et la disponibilité de ses produits à tout moment et sans préavis. Les modèles
présentés le sont uniquement à titre d’illustration. Lenovo™ ne saurait être tenu responsable des erreurs photographiques ou typographiques.
Les informations mentionnées ici n’ont aucune valeur contractuelle. Lenovo™, le logo Lenovo™, ThinkCentre, ThinkPad, ThinkVision, ThinkStation,
ThinkServer et System x sont des marques commerciales ou des marques déposées de Lenovo™. Ultrabook, Celeron, Celeron Inside, Core Inside,
Intel, le logo Intel, Intel Atom, Intel Atom Inside, Intel Core, Intel Inside, le logo Intel Inside, Intel vPro, Itanium, Itanium Inside, Pentium, Pentium Inside,
vPro Inside, Xeon, Xeon Phi, Xeon Inside et Intel Optane sont des marques commerciales d’Intel Corporation ou de ses filiales aux États-Unis et/ou
dans d’autres pays. © Lenovo™ 2018. Tous droits réservés.Vous pouvez aussi lire
