Par Daniel Crowe, Vice President France, Benelux & Southern Europe – NETSCOUT
Avec la récente entrée en vigueur du RGPD, les entreprises – européennes ou traitant des données de citoyens européens – ont eu à se mettre très rapidement en conformité avec cette nouvelle régulation, pour éviter d’importantes sanctions financières. Bien que la protection des données fasse l’objet d’une attention particulière, il est quasi impossible d’anticiper quand, et comment, les failles de sécurité et les défaillances d’un système informatique se produiront. Au vu de la taille et de la complexité des réseaux informatiques, il est désormais essentiel pour les entreprises de disposer d’une visibilité complète de leurs réseaux, tant au niveau opérationnel et performance que d’image de marque et réputation.
La sécurité d’un réseau et les informations qu’il renferme sont intrinsèques au Règlement Général sur la Protection des Données. En effet, la régulation stipule que les entreprises doivent mettre en place des mesures pour éviter ou minimiser l’impact de codes malveillants ou d’attaques par déni de service (DDoS). L’article 32 du RGPD concerne la disponibilité du réseau et la rapidité avec laquelle l’accès aux données personnelles peut être rétabli en cas de panne causée par une interruption de service ou une fuite de données.
Garantir la disponibilité du réseau n’est pas seulement une question de conformité réglementaire ; c’est probablement la plus grande priorité pour toute entreprise aujourd’hui. Toute organisation dépend désormais de connexions cohérentes et permanentes avec ses clients, partenaires et fournisseurs. De plus, l’avenir d’une entreprise repose sur la résilience et la disponibilité de ses réseaux informatiques.
Le RGPD et d’autres règlements tels que l’HIPAA et le PCI-DSS définissent les types de données personnelles pouvant être collectées et enregistrées, ainsi que l’endroit où ces données peuvent être hébergées. Cela s’applique aux adresses e-mail personnelles, aux numéros de téléphone, jusqu’aux adresses IP et aux informations de carte de crédit.
Le RGPD dépasse les frontières de l’Europe. Les entreprises internationales traitant avec des clients et des fournisseurs traitant des données européennes doivent également se conformer à cette nouvelle réglementation. Non-conformes au RGPD, elles courront, avec l’ouverture des marchés, un plus grand risque. Le principe est simple : toute organisation qui traite les données personnelles de citoyens européens, y compris le suivi de leurs activités en ligne, entre dans le champ d’application de la loi, indépendamment de la présence physique de l’organisation dans l’UE. Toute négligence est passible d’amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires global annuel de l’entreprise.
Le RGPD régule également quelles données peuvent être transmises en dehors des entreprises et hors des frontières nationales. Pour garantir la conformité, les acteurs réseau et sécurité doivent comprendre d’où les données sont émises et comment elles traversent leurs réseaux. A cela s’ajoute la prise en compte du cheminement de la data et de leur lieu de stockage. Pour que les entreprises puissent suivre le flux d’informations et éviter qu’elles ne soient compromises,elles devront mettre en place des processus automatisés qui évaluent et dressent régulièrement un bilan du traitement des données personnelles. En raison de la taille et de la complexité de l’infrastructure informatique, les entreprises devront avoir une visibilité complète sur leur réseau – couvrant les data centers et le cloud – pour s’assurer qu’elles sont totalement conformes avec le RGPD.
D’un point de vue sécurité, les attaques DDoS représentent toujours le plus grand risque pour les données personnelles et la disponibilité du réseau. Il existe une idée erronée largement partagée selon laquelle les mesures de sécurité standard telles que les pare-feu, les pare-feu d’applications Web et les équilibreurs de charge peuvent atténuer les attaques DDoS et maintenir la conformité RGPD de l’entreprise. Ces systèmes sont presque toujours ciblés, ce qui peut submerger le réseau et entraîner une panne. L’article 32 du RGPD stipule que les mesures de protection des données doivent être rigoureusement évaluées. Il est donc important que les entreprises veillent à ce que toutes leurs défenses soient automatiquement et régulièrement mises à jour avec les dernières informations sur les menaces et les risques de sécurité.
Pour garantir la conformité du réseau avec le RGPD, toute entreprise doit mettre en place des outils de surveillance et définir des mesures de sécurité adéquats pour protéger ses données, son réseau et ses ressources informatiques. Cependant, il est également important d’avoir des mesures de protection physiques en place. Il ne faut pas oublier d’appliquer une sécurité rigoureuse et un accès contrôlé aux bureaux et installations.
Être sensibilisé à la protection des données et à la vie privée est devenu indispensable. En effet, la pression exercée sur les entreprises pour qu’elles adhèrent à de nouvelles politiques et réglementations n’a jamais été aussi grande. Indépendamment du RGPD, toutes les entreprises vont devoir mettre en place des mesures de protection raisonnables pour prévenir les atteintes à la sécurité, l’accès non autorisé ou la perte de données.