La loi européenne RGPD


La loi européenne RGPD

Mais qu’est-ce que la RGPD ?

C’est une loi qui protège les citoyens européens de l’utilisation et la récolte de leurs données personnelles. A l’origine, c’est un garde-fou contre les GAFA (Google Apple Facebook Amazon et les autres) mais elle s’applique à toute entreprise de la planète qui stocke des informations personnelles de citoyens européens. Cette loi concerne bien sur les données informatiques, mais également les données sur papier !

A quoi suis-je tenu ?

Les données personnelles des INDIVIDUS doivent faire l’objet d’un traitement séparé ; Pour une entreprise B2B cela se limite souvent aux données de paie et de contrat des salariés et aux coordonnées des contacts professionnels de l’entreprise :

Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
Obligation de définir la raison pour laquelle vous stockez ces données
Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème

Que dois-je faire pour me mettre en conformité ?

Pour beaucoup de PME qui ne travaillent pas avec les particuliers, c’est en fait assez simple :

Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
Obligation de définir la raison pour laquelle vous stockez ces données
Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème

Et d’un point de vue informatique ?

Cela se révèle être en fait beaucoup de bon sens :

Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
Obligation de définir la raison pour laquelle vous stockez ces données
Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème

La plupart des entreprises ont ces éléments déjà en place, mais peut être de manière incomplète ou simplement non maitrisée aujourd’hui.

Et quels bénéfices pour ma PME ?

C’est l’occasion de faire une action importante et pas urgente, c’est-à-dire le type d’actions le plus stratégique pour l’entreprise ;
Faire un point de la situation actuelle, définir ses objectifs de sécurité, corriger les points nécessaires, et documenter l’ensemble.

Le coin de l'expertReplierEn savoir +

Une clé de voute de la mise en sécurité d’une entreprise (comprendre connaitre et maitriser les risques) est la définition de 2 critères :

RPO : Recovery Point Objective
Si tout se passe au plus mal, quelle durée maximale acceptable de nouvelles données modifiées ou créés puis je perdre ?
En général pour une PME, on se situe sur un RPO de 24H, mais cela peut descendre à 2 heures pour certains métiers.
Le RPO zero existe, notamment chez les banques, mais ces systèmes demandent des investissements très lourds avec des systemes de replication synchrones multi-sites.
Le Cloud peut également aider, mais il faut bien analyser les engagements réels des fournisseurs, qui en général ne garantissent contractuellement. rien.

RTO : Recovery Time Objective
Si tout se passe au plus mal, quelle durée maximale acceptable avant de pouvoir travailler de nouveau ?
En général pour une PME, on valide souvent une durée de 1 journée maximum pour une informatique de nouveau opérationnelle après la pire des catastrophes.
Le bon process est donc de valider un RPO/RTO avec la direction , la production et le commerce, puis de voir comment mettre en place les outils pour y parvenir.
Et plus le RPO/RTO est faible, plus l’investissement augmente, jusqu’à être déraisonnable.

RGPD - Suivi des modifications des fichiers

Depuis toujours nous faisons sans la fonctionnalité, logique mais inexistante, de pouvoir dire qui a modifié un fichier sur le serveur, ou qui a supprimé un répertoire. Windows Server ne propose tout simplement pas cette option et il est fréquent que l’on veuille savoir quand, qui et donc surtout comment un répertoire ou un fichier a disparu. Avec la RGPD, cette fonction devient presque indispensable ; On doit en effet en cas de compromission d’une donnée personnelle (suppression, vol, modification nuisible) pouvoir  définir la source exacte du problème. Et sans outil qui trace les modifications sur le serveur de fichiers…

NirWana propose un logiciel qui s’installe sur le serveur et audite toutes les modifications, créations ou suppressions de fichiers. Non seulement cela permet d’identifier à posteriori la source de l’erreur, mais le logiciel permet également une gestion proactive par un reporting simple, clair et complètement paramétrable pour signaler des comportements anormaux. Sans être expert en informatique, il est clair qu’une machine est très suspecte si elle tente d’accéder à tous les partages à laquelle elle n’a pas le droit, la nuit, avec plusieurs essais de mot de passe.

Dans un autre registre, un stagiaire qui recopie l’intégralité des données du serveur sur son PC n’a pas un comportement compatible avec la chartre informatique, voir n’a pas notion que le vol de données est un délit. NirWana mets en place les rapports classiques de surveillance, mais la direction peut simplement ajouter des rapports supplémentaires ciblés sur ce qui les intéresse.

Une dernière utilité est de surveiller plus spécifiquement certains fichiers. Par exemple, la liste de prix de l’entreprise, accessible à tous, n’est pas censée être modifiée à la hussarde, mais uniquement apres la réunion marketing trimestrielle. Autant monitorer ce fichier et associer des alertes.

L’outil assure un triple rôle :

Obligation d’informer les personnes que vous stockez leurs données et obtenir leur consentement
Obligation de définir la raison pour laquelle vous stockez ces données
Obligation de lister les données et à quel endroit elles sont stockées et qui peut y avoir accès
Obligation de protéger au mieux ces données contre des attaques extérieures (Virus,hacking,attentat..) et contre des accidents (Incendie, erreur humaine)
Garantie qu’en cas de données compromises il est possible de les restaurer de manière fiable
Obligation d’informer les autorités sous 72H en cas de compromission et de pouvoir déterminer la source/cause du problème

Le coin de l'expertReplierEn savoir +

Et aussi, pour un responsable informatique, pouvoir répondre à des questions simples, pour lesquelles la direction de l’entreprise ne peut pas imaginer que la réponse ne soit pas disponibles, comme « Qui a supprimer ce dossier ? et quand ? »

A noter que l’on peut coupler ce dispositif avec l’utilisation des snapshots windows, de la sauvegarde rapide et récurrente de certains dossiers pour pouvoir récupérer des versions antérieures, en dehors de la sauvegarde journalière. Il est aussi possible de pouvoir détourner un outil de fichiers cloud pour assurer la conservation de toutes les versions de fichiers de certains dossiers et pouvoir ainsi restaurer un fichier crée dans la journée, modifié/sauvegardé plusieurs fois, puis écrasé par une ancienne version par erreur.

L’outil utilisé est NetWryx Auditor, et il existe aussi des licences pour surveiller Exchange, l’active directory, une base de données ou un Sharepoint.

RGPD - Gestion multi-Site

Les entreprises multi-sites connaissent toutes la difficulté de gérer les données et leur accès rapide pour tous les salariés. La logique de contrôle, de sécurité et de sauvegarde voudrait que tout soit centralisé sur le site principal et que les autres sites y accèdent à distance.

Se pose alors le cout récurrent des liens informatiques VPN entre les sites (Fibre, SDSL) face à la productivité des salariés. L’autre option est de disposer de serveurs sur chaque site, avec les données propres à chaque site. Les utilisateurs ont alors un accès rapide permanent aux données, pour un productivité maximale. Mais se pose la question de la consolidation des données, de la sauvegarde, et plus incidieux du risque de multiple versions pour le même document.

NirWana propose un système hybride, les données étant centralisées sur le site principal, avec une recopie sur des serveurs locaux de chaque site, afin de bénéficier du meilleur des deux mondes. La solution semble logique et facile, mais la mise en place est complexe, surtout si l’on veut une arborescence unique pour l’ensemble de l’entreprise tout en supprimant les risques d’écrasement involontaires de fichiers. La solution proposée utilise des fonctionnalités Microsoft couplé à un logiciel tiers pour que l’utilisation soit simple et évidente, sans pour autant perdre en sécurité et intégrité des données.

Le coin de l'expertReplierEn savoir +

La solution proposée utilise Microsoft DFS pour définir une architecture unique de fichiers partagés, quel que soit le site. DFS permet également la réplication des données mais une énorme faille est présente. Le dernier qui enregistre le fichier écrase la version précédente, sans avertissement.

Il est possible de retrouver cet information de conflit dans le journal d’évènements, mais le traitement régulier de ces conflits est un cauchemar programmé pour le responsable informatique, sans compter la perte de crédibilité d’installer un système qui permette cela.
NirWana utilise en complément les solutions de PeerLock Software pour verrouiller les fichiers ouverts et éviter les inévitables conflits.
A noter que la solution PeerLock se compose d’un produit complémentaire de DFS pour les entreprises avec 2 voire 3 sites, et d’un produit complet indépendant s’il y a plus de sites.

Pas de magie cependant, il faut néanmoins des liens VPN fiable et stables entre les sites, même si la bande passante nécessaire est beaucoup plus faible que pour une architecture centralisée classique.