Ne pas être conforme en matière de protection des données pourrait coûter des millions à votre entreprise. Mais l’utilisation d’un logiciel pour automatiser la conformité au GDPR peut vous faire gagner du temps et de l’argent. L’âge de l’information passe en revue les meilleurs paquets existants
Le règlement général sur la protection des données (RGPD) de l’Union européenne est désormais bien établi comme une norme mondiale à laquelle les entreprises internationales doivent se conformer lorsqu’il s’agit de sécuriser et de gérer leurs données, ainsi que celles de leurs clients et partenaires.
La non-conformité au GDPR en ce qui concerne toute violation ou fuite de données peut également entraîner des amendes potentiellement importantes.
Nous examinons ici les principaux types de logiciels de conformité au GDPR disponibles pour les directeurs des technologies et leurs collègues.
>Voir aussi : Guide de l’âge de l’information sur les données et la confidentialité
Défis des logiciels de conformité au GDPR
Vicki Utting, directrice générale de Vigilant Software, déclare à propos des exigences du GDPR : » La conformité au GDPR est une activité difficile et qui prend du temps. La portée et l’impact croissants des exigences de conformité et des programmes d’audit, auxquels s’ajoutent l’ambiguïté et la complexité de la loi GDPR elle-même, créent une liste de tâches interminable et épuisante pour les CTO – mais qui est vitale pour que les organisations survivent et prospèrent. »
Ian Wood, directeur principal et responsable de la technologie pour le Royaume-Uni et l’Irlande chez le fournisseur de gestion des données en nuage Veritas Technologies, ajoute : « Une grande partie de ce qui est sur le marché aujourd’hui se limite à un petit nombre d’applications ou d’environnements spécifiques, qui ne feront qu’effleurer la surface lorsqu’il s’agira de relever les défis auxquels les organisations sont confrontées, ce qui les expose au risque de ne pas respecter la réglementation. »
>Voir aussi : L’IA pourrait changer la donne en matière de confidentialité des données.
L’expansion rapide des services en nuage et des outils de collaboration que les entreprises utilisent maintenant en raison de la pandémie et de la transformation numérique accélérée, dit Wood, ne fait que compliquer les problèmes liés au GDPR.
« Pour s’adapter à l’évolution constante du paysage, les organisations doivent s’associer à un fournisseur capable de couvrir toutes les plates-formes où les données sont conservées. L’une des plus grandes zones de risque est l’explosion du partage des données par le biais d’outils de collaboration en nuage, qui remplacent le courrier électronique comme moyen privilégié d’envoyer des fichiers.
« Omettre l’une de ces importantes plateformes cloud dans le processus de conformité rend impossible le respect des exigences du GDPR. Par conséquent, la possibilité de balayer tous les systèmes permet non seulement de gagner du temps, mais aussi d’avoir l’esprit tranquille en sachant que rien ne sera oublié. »
>Voir aussi : Liste de contrôle de l’audit de la confidentialité des données – comment la compiler ?
Darren Wray, responsable des solutions de protection des données Guardum chez DFIN, déclare : » Les logiciels de conformité et d’assistance GDPR sont actuellement en pleine mutation. Les récents changements proposés pour le GDPR britannique ont amené certains utilisateurs à reconsidérer la solution qu’ils avaient choisie, après avoir réalisé qu’elle ne leur faisait pas gagner autant de temps qu’ils le pensaient au départ.
« Bien sûr, la conformité en matière de protection de la vie privée ne reste pas immobile et il y a des changements dans différentes parties du monde qui influencent également les entreprises à examiner la façon dont elles adhèrent à ces réglementations, et à s’assurer qu’elles protègent leurs données. »
>Voir aussi : Quel est le rôle du gestionnaire de données ?
Identité
Egnyte
Egnyte assure la conformité au GDPR en localisant, contrôlant et sécurisant les informations personnelles identifiables (PII) des résidents de l’UE stockées dans des référentiels sur site ou dans le cloud.
Kris Lahiri, responsable de la sécurité chez Egnyte, déclare : » Avec 65 % de la population mondiale dont les données personnelles devraient être couvertes par des réglementations sur la confidentialité d’ici 2023, le respect de la confidentialité des données n’a jamais été aussi critique. De plus en plus de contenus se déplacent entre les environnements sur site et multi-cloud, car les organisations ont changé la façon dont elles stockent et accèdent à leurs données non structurées.
« Les utilisateurs professionnels réclament des modèles en libre-service, semblables à ceux des consommateurs, pour accéder aux fichiers à tout moment et en tout lieu. Choisir une solution qui agit comme une source de vérité pour toutes les données est essentiel pour garantir la conformité au GDPR. »
Selon lui, les organisations doivent rechercher une solution capable de localiser toutes les données privées des employés et des clients, où qu’elles se trouvent, et de les classer, de fournir des alertes en temps réel lorsque des types spécifiques de contenu sont consultés ou partagés, et de maintenir une piste d’audit complète de toutes les actions des fichiers et des utilisateurs, ce qui contribue à une visibilité totale des données réglementées et sensibles de l’entreprise.
Analyse des journaux
En utilisant une outil d’analyse des journaux, il devrait être facile de surveiller et d’analyser les données des journaux au sein de votre réseau. Un bon outil confirmera que vos appareils sont sécurisés, tout en stockant les journaux d’événements pour l’audit de conformité. En créant des rapports d’audit de conformité périodiques, il est également plus facile pour le personnel informatique d’évaluer les risques de sécurité et de s’assurer que leurs organisations sont conformes au GDPR.
Rajesh Ganesan, président de ManageEngine, déclare : » En cas d’activité anormale sur le réseau, le personnel informatique doit être immédiatement averti via une alerte. En outre, des outils d’analyse de journaux efficaces devraient prendre en charge la surveillance de l’intégrité des fichiers, ce qui peut servir de système d’alerte pour les problèmes d’accès aux autorisations. »
Prévention des pertes de données
Outre l’utilisation d’un outil efficace d’analyse des journaux, il est prudent d’employer une solution de prévention des pertes de données (DLP). Une telle solution détecte et classe les données, définit les règles d’utilisation autorisée et de transmission sécurisée, et protège les données sensibles sur les terminaux gérés. Les entreprises qui autorisent le BYOD (bring-your-own-device) peuvent utiliser un utilitaire de conteneurisation des données, garantissant que toutes les données de l’entreprise sont séparées des systèmes d’exploitation des appareils des utilisateurs.
Avec un bon outil DLP, le personnel informatique peut désigner des applications de confiance pour le traitement des données, tout en surveillant le réseau pour détecter les menaces d’initiés et les mouvements de données sensibles.
Politiques et cookies
L’offre de Ketch aide à formuler des politiques qui s’appliquent spécifiquement à l’ensemble de l’écosystème de données et d’informations de votre entreprise. Son service GDPR promet de garantir la conformité à chaque règlement, couvrant les utilisateurs de données et les systèmes de données.
Par exemple, la conformité aux cookies n’est pas la même chose que la conformité générale à la réglementation GDPR.
« Il vous incombe de veiller à ce que les données collectées et traitées à l’aide de cookies soient conformes à tous les aspects du GDPR », déclare Ketch.
Ketch aide les entreprises à éliminer les approches souvent manuelles de la découverte des données et de l’ajout de nouvelles réglementations à la liste de conformité, au profit d’une approche automatisée « régler et oublier ».
« Notre logiciel vous offre une solution centralisée pour mener la découverte des données sur plusieurs systèmes, définir des politiques GDPR pour vos données et pousser ces politiques sur tous les systèmes, appareils et expériences utilisateur », explique la firme.
Bases de données
Michael O’Donnell, spécialiste des écosystèmes de données chez Quest Software, souligne que les bases de données sont un « point sensible » du GDPR. Il déclare : « De nombreuses organisations ne réalisent pas que les bases de données constituent un risque de sécurité critique. L’objectif principal de nombreux attaquants est d’accéder aux bases de données pour voler un grand nombre d’informations sensibles. De nombreuses techniques d’attaque, comme l’injection SQL, sont spécialement conçues pour compromettre les systèmes de bases de données, et les anciennes versions des bases de données Oracle largement utilisées, par exemple, sont sensibles à ces attaques. »
L’une des idées derrière la conformité réglementaire est une version unique de la vérité. « Mais les organisations peuvent avoir des centaines ou des milliers de sources de données, et pour maîtriser tout cela et se conformer aux réglementations, il faut une réingénierie importante de l’architecture des données et des applications dans l’entreprise », explique O’Donnell.
Il est donc important de découvrir où les données sensibles peuvent être stockées et d’identifier les données sensibles ou critiques pour définir des politiques strictes autour de leur accès.
Selon M. O’Donnell, les opérations informatiques peuvent rapidement découvrir quels serveurs exécutent des bases de données contenant des informations personnelles/sensibles, sur la base des informations contenues dans le référentiel de métadonnées et le glossaire métier. Ils peuvent analyser automatiquement les bases de données pour détecter les données vulnérables stockées en fonction de l’interrogation des données ou des attributs des métadonnées. Ils doivent ensuite mettre en place des processus de cryptage, de masquage ou de rédaction pour les protéger.
Vérifications gratuites
Le Privacy Compliance Hub a été créé par deux anciens avocats de Google, en réponse au manque d’équipes compétentes en matière de protection des données dans les entreprises. Il propose un bilan de santé gratuit sur la conformité au GDPR.
Autres acteurs dans le domaine des logiciels de conformité au GDPR
Logiciels de conformité au GDPR
| Entreprise | Le nuage livré ? | Utilisation sur site ? | Destiné aux PME ou aux entreprises ? |
| Institut SAS | Oui | Oui | Entreprises |
| OneTrus | Oui | Oui | Les deux |
| Informatica | Oui | Oui | Entreprises |
| Proofpoint | Oui | Oui | Les deux |
| Talend | Oui | Oui | Entreprises |
| Micro Focus | Oui | Oui | Entreprises |
| Drata | Oui | Oui | Les deux |
Source : Datarmine
Relié :
Clive Humby – les données peuvent prédire presque tout ce qui concerne la gestion d’une entreprise. Clive Humby, inventeur de la carte Tesco Clubcard, explique comment ne plus se sentir submergé par les données, comment convaincre votre PDG de leur importance et pourquoi les données doivent être tournées vers l’avenir et non vers le passé.
Comment les entreprises peuvent-elles se préparer au projet de loi sur la protection des données et l’information numérique ? Alors que le projet de loi sur la protection des données et des informations numériques est actuellement examiné par le Parlement, Michael Paye, vice-président de Netwrix chargé de la recherche et du développement, explique comment les entreprises peuvent se préparer de manière optimale.
Oubliez la transformation numérique : la transformation des données est ce qu’il vous faut – Stefano Maifreni, fondateur d’Eggcelerate, explique pourquoi les organisations doivent se concentrer sur la transformation des données pour maximiser la valeur à long terme.