RGPD et PacWan : nos recommandations B2B

23/04/2018
Share
Le RGPD par PacWan
Le RGPD ou Règlement Général de la Protection des Données, fait beaucoup parler de lui, surtout depuis un peu plus d’un an. C’est un texte de référence européen en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne. Il entre en vigueur le 25 mai 2018, après avoir été définitivement adopté par le parlement européen le 14 avril 2016…. Soit il y a déjà deux ans de ça.

 

Que l’on soit un grand groupe ou une TPE, tout le monde est concerné par ce texte. PacWan fait un tour d’horizon des services qui pourraient vous aider à être RGPD compliant.

 

Les maîtres mots associés au RGPD

 

Le mot principal à retenir pour la mise en place du RGPD, c’est le contrôle. Il faut pouvoir protéger les données stockées, stockées au sein de l’entreprise pour lesquelles le consentement a été donné/obtenu, et les sauvegarder, afin de pouvoir les restaurer en cas de besoin (altération, corruption ou perte).

 

Une fois que le process de sauvegarde est en place, où comptez-vous stocker vos données ? Sur un support externe, ou sur un cloud public ? À première vue, cela peut paraître plus sûr de gérer ses sauvegardes au sein de son entreprise. Cependant, si l’on prend l’exemple du bas de laine, préférez-vous le placer à la banque, ou le cacher sous votre matelas ? Pour vos sauvegardes, le principe est le même !

 

La partie sécurité par PacWan s’articule autour de 5 axes :

 

Identifier et bloquer les virus

Avec un firewall d’entreprise. C’est le « minimum syndical », puisque c’est un équipement défensif, surtout lorsque l’on se connecte à Internet. Un bon firewall est un combiné de mécanismes et modules de sécurité avancés pour identifier rapidement et bloquer les attaques évoluées, sauf les « Zéro Day », qui correspondent à des menaces inconnues n’ayant aucun correctif disponible

Échanger sur des réseaux sécurisés 

Grâce à un VPN. C’est une bonne solution pour vous connecter à vos différents sites, sans passer par une infrastructure publique et non sécurisée (comme internet). Si vous y faites transiter vos données sensibles, la dernière chose que vous voulez serait de se les faire piratées. En effet, si vos données se retrouvent volées, vous vous retrouverez en plein dans la problématique RGPD, en ne sachant plus où elles sont, ni comment elles seront exploitées. Vous avez le choix entre plusieurs types de VPN, en fonction de vos usages.

Authentifier vos utilisateurs 

Savez-vous qui se connecte sur votre réseau, sur quelles applications, et dans quel but ? Afin de garantir qu’un utilisateur accède uniquement aux données dont il a besoin, il doit être doté d’un identifiant qui lui est propre, et doit s’identifier avant d’utiliser votre réseau. Vérifiez avec votre opérateur s’il peut vous proposer la fonction « authentification utilisateurs», compliant avec les recommandations de la CNIL.

Mettre en place un contrôle applicatif  

Le contrôle applicatif repose sur une pensée simple : la meilleure manière de se défendre reste le « denial» ; bloquer l’accès intégral, et autoriser au cas-par-cas, en fonction des usages, l’accès à certaines applications ou sites. Vous êtes ainsi sûr que le flux qui transite sur votre réseau est autorisé, puisqu’identifié et contrôlé.

Et enfin, en cas de contrôle, avoir des rapports d’activité sous la main

Ces rapports pourront être très précieux, surtout dans le cadre du RGPD. Ce sont des rapports détaillés sur l’utilisation de vos services réseau : consommation de la bande passante, activité des utilisateurs, et fourniture des statistiques sur les applicatifs et services utilisés.

 

C’est tout ? Non, vous pouvez toujours mieux faire…

 

…Avec un allié insoupçonné qui pourrait se trouver dans le Cloud. À tort, les services managés sur le Cloud renvoient une image de service non sécurisé, puisque vous n’avez « pas la main dessus ». Cependant, s’affranchir de votre infrastructure IT au profit d’un Cloud privé peut présenter de nombreux avantages, et vous aider à être conforme avec la mise en application du RGPD. Dans quelles mesures ?

Grâce à un VDI

Un VDI est une technique de virtualisation permettant l’accès à une interface bureautique virtualisée. En dehors du côté pratique, qui vous permet d’être nomade et de retrouver votre environnement de travail de n’importe quel appareil, c’est une manière de se protéger et de protéger ses données. Si votre entreprise se fait malheureusement cambrioler, et que vous vous faites voler tous vos postes de travail, vous ne perdrez aucune donnée car elles sont stockées en datacenter, vous ne subirez « qu’une» perte matérielle.

Grâce au niveau de sécurité physique des datacenters

En dématérialisant votre infrastructure IT, elle sera hébergée sur des serveurs en datacenter. Vos données y seront conservées dans un environnement optimum, choisissez donc bien votre fournisseur de services Cloud en vous renseignant sur son site d’hébergement. Il doit être choisi en fonction de sa sécurité (le site détient-il des normes ISO ? Est-il gardé en 24/7 ?), de la modernité de ses équipements (pouvez-vous visiter l’endroit, inspire-t-il confiance ?) ainsi que de l’autonomie du site (redondance des réseaux et autonomie électrique).

 

Cette fois-ci, c’est tout ?

 

Malheureusement non. D’innombrables critères entrent en jeu pour être conforme dès le 25 mai à l’entrée en vigueur du RGPD. Nous avons listé ici quelques exemples où votre opérateur peut vous venir en aide. Cependant, des bonnes pratiques sont à mettre en service dans votre entreprise dès à présent. Très souvent, les erreurs informatiques restent humaines : un mot de passe trop simple, un poste de travail non verrouillé…Commencez par mettre en place une charte informatique, à informer et former tous vos collaborateurs, à rappeler les bonnes pratiques d’utilisation des outils informatiques  (messagerie d’entreprise, l’accès à internet, équipements et logiciels personnels…). De nombreux conseils sont également donnés par la CNIL, en suivant ce lien : « sensibiliser les utilisateurs »

 

Plus d’infos ? info@pacwan.net