Gouvernance des données pour la conformité au RGPD : les solutions Lenovo

 
DIAPOSITIVES SUIVANTES
Gouvernance des données pour la conformité au RGPD : les solutions Lenovo
Sécurité :
 Gouvernance des
  données pour la
   conformité au
    RGPD : les
     solutions Lenovo
Gouvernance des données pour la conformité au RGPD : les solutions Lenovo
Introduction
    Le Règlement général sur la protection des données de l’UE (RGPD) est une tentative historique de
    moderniser la législation régissant la sécurité des informations personnelles sur le continent européen et
    de l’adapter à la nouvelle ère du numérique. Venant remplacer la directive sur la protection des données
    personnelles de 1995 (transcrite dans la loi anglaise sous la forme du « Data Protection Act »), le RGPD
    est sur le point de doter les consommateurs de l’UE d’un certain nombre de droits concernant la manière
    dont leurs informations personnelles identifiantes (Personally Identifiable Data - PII) sont utilisées. Pour les
    entreprises, cela se traduit par un nouvel ensemble d’exigences strictes à respecter.
    Ce texte de 81 pages, dont l’élaboration a pris plusieurs années, couvre un large éventail de domaines,
    allant de la portabilité des données et du consentement de l’utilisateur au respect de la vie privée dès la
    conception et au droit à l’effacement. Toutefois, l’un de ses principaux objectifs est de faire baisser le nombre
    de fuites de données préjudiciables qui se produisent dans le monde entier en améliorant les pratiques de
    base en matière de protection des données. Cela a des implications majeures pour les équipes de sécurité
    informatique.

    Dans cette optique, il y a trois choses que
    toutes les entreprises doivent savoir. Le RGPD :
    • entrera en application le 25 mai 2018 ;
    • s’applique aux entreprises du monde entier qui traitent des informations
      relatives à des citoyens de l’UE (y compris le Royaume-Uni post-Brexit) ;
    • peut donner lieu à des amendes pouvant s’élever à 20 millions d’euros ou 4 %
      du chiffre d’affaires annuel, le plus élevé de ces deux montants étant retenu.

    Malheureusement, il existe            Cet eBook décrit dans                  Bien gérer la conformité
    encore une grande confusion           les grandes lignes ce que              ne sert pas qu’à réduire les
    concernant cette nouvelle             Lenovo considère comme                 risques d’amende pour non-
    législation, à qui elle               les principales menaces de             respect de la réglementation…
    s’applique, et ce que les             cybersécurité et les défis             Cela peut aussi vous aider
    entreprises doivent faire pour        auxquels les entreprises sont          à élaborer une culture
    s’y conformer. Pas plus tard          confrontées dans le contexte           d’entreprise centrée sur les
    qu’en décembre, une étude             des mesures techniques que le          bonnes pratiques en matière
    a révélé que plus de la moitié        RGPD leur impose de prendre.           de cybersécurité, un aspect
    (57 %) des professionnels             Il explique ensuite comment            qui sera de plus en plus
    de la cybersécurité ont des           les technologies Lenovo                considéré comme un atout
    inquiétudes concernant la             peuvent vous aider à gérer vos         concurrentiel à mesure que les
    conformité au RGPD, mais              stratégies de conformité vis-à-        consommateurs s’intéresseront
    aussi que plus d’un tiers             vis des règles de gouvernance          davantage à la protection de
    d’entre eux ne considèrent pas        des données.                           leurs données.
    du tout ce sujet comme une
    priorité. Au Royaume-Uni, des
    statistiques gouvernementales
    de janvier 2018 suggèrent
    même qu’il n’y aurait que
    38 % des entreprises qui
2   ont entendu parler du RGPD.
Gouvernance des données pour la conformité au RGPD : les solutions Lenovo
Les menaces de cybersécurité
Le RGPD, comme d’autres législations récentes régissant la confidentialité et la
protection des données ailleurs dans le monde, peut être vu comme une réponse
au nombre croissant de cybermenaces et aux immenses problèmes de sécurité
auxquels les entreprises sont confrontées.

Il s’agit notamment des choses suivantes :
• Attaques par hameçonnage (phishing) visant des employés
• Vol d’informations par des logiciels malveillants et des rançongiciels (ransomware)
• Divulgation de données à la suite d’une mauvaise manipulation par des employés

Ces menaces constituent un danger bien réel et omniprésent pour les entreprises. Concrètement,
un fournisseur de solutions de sécurité indique avoir bloqué plus de 38 milliards de menaces
uniques rien qu’au cours des six premiers mois de 2017, dont 82 millions liées à des rançongiciels.
Une autre étude montre que des techniques de phishing ont été utilisées dans plus de 90 % des
fuites de données et des incidents de sécurité en 2016.
Selon l’ICO (Information Commissioner’s Office), l’organisme chargé de la protection des données
au Royaume-Uni (qui pilotera l’application du RGPD dans le pays), la quantité d’incidents liés à la
sécurité des données qui lui ont été signalés au 2e trimestre 2017/2018 a bondi de 15 % par rapport
à la même période un an plus tôt.
L’erreur humaine (publier accidentellement des données sensibles sur un compte OneDrive
partagé, envoyer un e-mail au mauvais destinataire, exposer des informations sur un site Web
public, etc.) reste la principale cause de ces incidents.

Au-delà des statistiques, la liste toujours plus longue de failles de sécurité et de fuites de données
de grande envergure auxquelles sont confrontées des organisations comme Yahoo, Equifax,
Uber et Verizon montre bien que même les multinationales les plus fortunées peuvent être
prises en défaut. La découverte récente de 1,4 milliard d’identifiants dérobés sur un site du
Dark Web montre aussi clairement les difficultés qui subsistent autour de la protection des
informations d’identification des employés, alors que celles-ci permettent aux pirates d’entrer
par la grande porte !

                                                                                                         3
Mesures techniques :
    quel niveau de sécurité
    faut-il appliquer ?
    Contrairement au précédent régime de protection des données, le RGPD est un règlement,
    ce qui signifie qu’il doit être mis en œuvre « tel quel » par les États membres de l’UE, avec
    un minimum de changements. Cela inclut le Royaume-Uni, ce qui a conduit le Parlement
    britannique à adopter le « Data Protection Bill » pour inscrire les mêmes règles dans la
    législation post-Brexit.

    Alors, que dit au juste le RGPD concernant les contrôles de sécurité ?
    Si vous cherchez une liste claire de fonctionnalités à implémenter dans votre entreprise, vous
    allez être déçu : ce nouveau règlement est centré sur les processus et ne préconise donc pas de
    technologies spécifiques. L’article 32, qui concerne la « sécurité du traitement », stipule que les
    organisations doivent mettre en œuvre « les mesures techniques et organisationnelles appropriées
    afin de garantir un niveau de sécurité adapté au risque ». Spécifiquement, cela peut inclure :

    • la pseudonymisation et le chiffrement des données à caractère personnel ;
    • des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité
      et la résilience constantes des systèmes et des services de traitement ;
    • des moyens permettant de rétablir la disponibilité des données à caractère
      personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident
      physique ou technique ;
    • une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité
      des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

    Les défis qui attendent les
    entreprises de taille moyenne
    Les menaces auxquelles sont confrontées les entreprises de taille moyenne
    découlent de plusieurs tendances qui affectent leur manière de travailler :

    • L’explosion du travail mobile (et donc des ordinateurs
      portables et des appareils mobiles)
    • La fin de la pertinence de la « sécurité de périmètre »
    • Les utilisateurs qui accèdent à des services Cloud et à des données
      directement sur leurs portables et leurs appareils mobiles

4
Qu’est-ce que cela signifie ?
Les responsables IT ont besoin d’une approche de défense en profondeur de la sécurité
qui soit centrée sur le terminal, lequel constitue le principal point d’intrusion des pirates
et la principale manière dont les fuites de données se produisent à la suite d’une négligence
de la part d’un employé.

Selon le cabinet d’analystes Forrester :
« La sécurité des terminaux constitue la ligne de front dans votre combat contre les
cyberattaques. Les failles de sécurité sont devenues monnaie courante dans les entreprises,
et vos serveurs et les terminaux de vos employés sont plus ciblés que n’importe quel autre
type d’actif. »

Yasser Rasheed, responsable mondial de la sécurité des terminaux chez Intel, recommande
trois bonnes pratiques :

                      Protéger les données
                      Le chiffrement intégral de disque (FDE) est largement utilisé, mais, même
                      s’il constitue une bonne pratique de base, il est inadapté s’il est mis en œuvre

      01              au niveau logiciel. Cela est dû au fait que cela nécessite de prendre la clé de
                      chiffrement locale au niveau matériel et de la stocker en mémoire pendant que
                      le PC est en fonctionnement, ce qui la rend piratable. Intel recommande aux
                      organisations de commencer par identifier et chiffrer leurs données sensibles
                      au niveau matériel (fichiers et dossiers).

                      Protéger l’accès aux données
                      Quel que soit le niveau de protection des données, si les clés virtuelles
                      associées ne sont pas elles-mêmes protégées, les pirates y accéderont
                      facilement.
                      Aujourd’hui, l’accès est basé sur le profil : qui vous êtes et votre rôle au sein
                      de l’entreprise. Mais une sécurité basée sur une combinaison statique de type
                      « nom d’utilisateur-mot de passe » est très fragile. Selon le rapport DBIR de

  02                  Verizon, 81 % des attaques qui ont conduit à des fuites de données en 2016
                      ont tiré parti de mots de passe dérobés ou trop faibles. Intel recommande
                      donc de mettre en place une authentification multifacteur (MFA) basée
                      sur des systèmes biométriques au niveau matériel.
                      [Citation de Yasser Rasheed : « Protéger les identités doit être la priorité
                      absolue. Qu’il s’agisse d’accéder à des données situées sur le PC local ou
                      dans le Cloud, via ce PC, nous conseillons à toutes les entreprises de changer
                      leurs mécanismes de contrôle d’accès pour passer à l’authentification
                      multifacteur au niveau matériel. »]

                      Faciliter la conformité via la journalisation

     03
                      Disposer d’un mécanisme de journalisation sécurisé au niveau matériel
                      est essentiel pour être en mesure de prouver que vous respectez les
                      consignes 1 et 2. Même si vous suivez à la lettre les bonnes pratiques,
                      il est important de pouvoir le prouver aux autorités de régulation.

                                                                                                          5
Comment Lenovo peut
    vous aider
    Heureusement, Lenovo est là pour vous aider !
    Le RGPD encourage les entreprises (qu’elles traitent des données ou en contrôlent)
    à investir dans les outils de pointe susceptibles de les aider à faire la preuve de leur
    conformité et de leur respect des bonnes pratiques.
    Lenovo combine des partenariats avec les leaders du secteur de la sécurité, ses propres
    solutions logicielles et matérielles, et ses services pour aider ses clients à gérer différents
    aspects du RGPD. Nous vous aidons à faire cela en sécurisant vos données et vos accès,
    mais aussi en vous proposant des solutions de sauvegarde.

    Matériel
    dTPM : fonctionnalité intégrée sur tous les modèles ThinkPad, ThinkCentre et ThinkStation,
    le module dTPM (discrete Trusted Platform Module) chiffre toutes les données utilisateur,
    y compris les mots de passe.

    Windows Hello : utilise des capteurs biométriques pour reconnaître l’utilisateur, ce qui apporte
    à celui-ci une protection de classe entreprise tout en lui permettant d’utiliser simplement son
    visage pour déverrouiller son appareil.

    Reconnaissance d’empreinte digitale Match-on-Chip : en 2004, le ThinkPad T42 a été le
    premier portable équipé d’un lecteur d’empreinte digitale intégré. Depuis, nous avons continué
    à moderniser et améliorer notre technologie de lecteur d’empreinte digitale et l’expérience
    utilisateur. La toute dernière solution Match-on-Chip assure une authentification plus sécurisée
    en réduisant les risques de piratage des informations d’empreinte digitale.
    Et vous pouvez encore renforcer la sécurité avec Intel Authenticate.
    Effacement des données à distance : les produits Lenovo font gagner du temps en évitant
    d’avoir à effacer les disques manuellement grâce à Intel® Remote Secure Erase pour les SSD
    Intel® qui sont gérés via la technologie Intel® AMT (Active Management Technology), ce qui
    facilite l’effacement des SSD et accélère la suppression des clés de chiffrement.
    Disques durs sécurisés : optimisé pour la sauvegarde des données critiques en déplacement,
    le disque dur sécurisé ThinkPad offre une sécurité de haut niveau avec chiffrement AES
    (Advanced Encryption Standard) 256 bits, en temps réel.

    Câble de sécurité Lenovo : permet au client de mieux protéger l’accès physique aux appareils
    au sein de l’entreprise. Il contribue à réduire les risques de vol en renforçant la protection
    physique des portables et de leurs stations d’accueil, des PC de bureau et des écrans.
    Protection des ports : le système de protection intelligente des ports contribue à prévenir
    les vols de données et les risques de sécurité réseau dus à une utilisation non autorisée
    de périphériques de stockage.
    ThinkPad Glance : permet d’utiliser la caméra infrarouge pour verrouiller automatiquement
    l’appareil lorsque l’utilisateur s’éloigne de celui-ci.

    Filtres de confidentialité Lenovo : grâce à la technologie brevetée des micro-persiennes
    développée par 3M, seules les personnes qui se trouvent juste en face de l’écran
    peuvent voir distinctement ce qui est affiché sur celui-ci.
6
Logiciels
Lenovo XClarity : Lenovo XClarity™ Administrator est une solution centralisée de gestion
des ressources qui vise à réduire la complexité, raccourcir les délais de réponse, et améliorer
la disponibilité des systèmes serveur et des solutions Lenovo. Lenovo XClarity intègre des
fonctionnalités telles que la gestion des firmwares et des configurations, le provisionnement
des systèmes d’exploitation, et la surveillance et la gestion du matériel. Il offre aussi un journal
d’audit qui fournit un historique des actions des utilisateurs (connexion, création d’utilisateur,
modification de mot de passe, etc.).

Lenovo Absolute : le service Lost & Found de Lenovo combine un logiciel et des outils de
sécurité fournis par Lenovo et Absolute Software avec des alertes supplémentaires pour
constituer une solution permettant de facilement restituer un PC volé à son propriétaire
légitime. Le logiciel fourni par Absolute Software piste l’ordinateur et fournit aux forces
de l’ordre locales les informations dont celles-ci ont besoin pour le récupérer.

Services et support
Service Lenovo de sauvegarde en ligne des données (OLDB) : Lenovo OLDB constitue
une solution puissante pour la sauvegarde des données des terminaux. S’appuyant sur
le service Mozy by EMC, OLDB peut vous apporter une totale tranquillité d’esprit en vous
garantissant que les données de votre entreprise sont à l’abri, sécurisées et disponibles
quand vous en avez besoin.

Services de chiffrement : le chiffrement de disque est essentiel pour bloquer les accès
non autorisés aux données ainsi que les attaques plus sophistiquées. Les services de
chiffrement de Lenovo protègent automatiquement toutes les données situées sur le PC.

Service Lenovo de conservation du disque (KYD) : vous permet de conserver votre
disque Lenovo et les données qu’il contient, ce qui renforce la sécurité et évite les risques
de poursuites. Cela vous permet de gérer l’élimination de ces données professionnelles
comme vous le souhaitez, et aide votre organisation à se prémunir contre les répercussions
juridiques et financières découlant des fuites d’informations.

Gestion de la fin de vie des produits (PELM) : couvre la réutilisation, le reconditionnement,
la défabrication, le démontage, la récupération, le broyage, le traitement et l’élimination
physique des produits, composants et options qui sont mis hors service, atteignent leur
fin de vie et/ou sont mis au rebut.
Cela permet de s’assurer que ni des données personnelles ni des données professionnelles
ne tomberont jamais entre de mauvaises mains.

                                                                                                       7
Conclusion
     Le RGPD constitue une évolution majeure de la législation européenne en matière de
     protection des données qui impose de nouvelles exigences d’une grande rigueur aux
     entreprises, que celles-ci traitent ou contrôlent des données. Il va entrer en vigueur avec
     des pénalités financières potentielles très élevées en cas d’infraction. Les entreprises
     doivent donc se familiariser avec cette nouvelle législation, revoir leurs processus et
     leurs contrôles en matière de sécurité, et identifier les éventuelles failles pour y remédier
     au plus vite.

     Voici quelques autres sources d’informations qui seront
     utiles aux responsables IT et aux directeurs de la conformité :
     Information Commissioner’s Office
     Groupe de travail « Article 29 »
     Hiscox
     Bird & Bird
     Groupe CharityFinance

Lenovo™ se réserve le droit de modifier les caractéristiques, les prix et la disponibilité de ses produits à tout moment et sans préavis. Les modèles
présentés le sont uniquement à titre d’illustration. Lenovo™ ne saurait être tenu responsable des erreurs photographiques ou typographiques.
Les informations mentionnées ici n’ont aucune valeur contractuelle. Lenovo™, le logo Lenovo™, ThinkCentre, ThinkPad, ThinkVision, ThinkStation,
ThinkServer et System x sont des marques commerciales ou des marques déposées de Lenovo™. Ultrabook, Celeron, Celeron Inside, Core Inside,
Intel, le logo Intel, Intel Atom, Intel Atom Inside, Intel Core, Intel Inside, le logo Intel Inside, Intel vPro, Itanium, Itanium Inside, Pentium, Pentium Inside,
vPro Inside, Xeon, Xeon Phi, Xeon Inside et Intel Optane sont des marques commerciales d’Intel Corporation ou de ses filiales aux États-Unis et/ou
dans d’autres pays. © Lenovo™ 2018. Tous droits réservés.
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler