Protection des données personnelles: Adoptez les bonnes pratiques LES 5 MESURES CLÉS À METTRE EN ŒUVRE Bonjour et bienvenue dans cette présentation du règlement général sur la protection des données. Je vous propose d’aborder les 5 points essentiels au travers d’une approche didactique Frédéric NAPOLEONE Sales Manager Western and South Europe North Africa and West Africa frederic.napoleone@stormshield.eu Marrakech, le 4 mai 2017
Qu'est-ce que la donnée personnelle ? N° de téléphone Ensemble d'informations Nom Photographie “ Les données sont considérées « à caractère personnel » dès lors qu’elles concernent des personnes physiques identifiées ou identifiables directement ou indirectement. ADN ” Prénom Ces données à caractère personnel sont relatives à tout ce qui permet d’identifier directement ou indirectement une personne. On retrouve bien sûr le nom, le prénom ou une photographie mais également l’adresse IP ou encore un numéro de téléphone Empreinte digitale Adresse IP N° d'immatriculation Introduction
“ ” Les données sensibles Philosophie religieuse Appartenance syndicale Infractions pénales et condamnations Opinion politique “ Les données sont considérées « à caractère personnel » dès lors qu’elles concernent des personnes physiques identifiées ou identifiables directement ou indirectement. Santé ” Ethnique Il existe des données à caractère personnel qui sont considérées comme sensibles et pour lesquelles les règles sont plus strictes. On retrouve ici toutes les données de santé, les données judiciaires ainsi que les données marquant l’appartenance d’un individu à un groupe comme la politique, les syndicats ou la religion. Origine raciale Vie sexuelle Génétique N° sécurité sociale Introduction
Nos données sont des empreintes digitales que nous laissons partout où nous passons Chacun en est peut-être conscient mais il est bon de rappeler que nous laissons une trace de nos données à caractère personnel un petit peu partout. Les premières sont plus qu’évidentes puisqu’elles concernent Internet et les données que nous affichons sur les réseaux sociaux. Ensuite, nous laissons une trace chaque fois que nous effectuons un paiement, qu’il soit en en ligne ou pas, chaque fois que nous remplissons un formulaire, que nous signons un récépissé, etc, etc… Introduction
Les données personnelles sont une cible de choix pour les hackers Ces données personnelles sont une cible de choix pour les cybercriminels puisqu‘elles leur permettent de détourner la vigilance des utilisateurs lorsqu’il lance une attaque ciblée. En effet, ils ont préparé un message qui cible vos centres d’intérêt afin d’augmenter les chances que vous vous y intéressiez et que cette attaque aboutisse Introduction
Qu'est-ce que le traitement de la donnée ? Transmission / diffusion Enregistrement Extraction “ Un traitement est une opération ou un ensemble d’opérations appliquées à des données à caractère personnel. ” Collecte Destruction Cette mise en conformité concerne en grande partie les traitements que vous effectuez sur les données à caractère personnel. En effet, le but du GDPR est de protéger les citoyens européens à l’égard du traitement des données à caractère personnel. Et à partir du moment où vous collectez une donnée à caractère personnel, via un formulaire de saisie par exemple, on parle de traitement de la donnée Consultation Conservation Introduction
5 questions essentielles Pouvez-vous assurer l’identification des utilisateurs sur votre réseau ? Avez-vous une stratégie intégrant la sécurité au centre du traitement des données ? Comment répondez-vous à l'obligation de consultation des incidents de sécurité ? Quels moyens de traçabilité des usages des données personnelles avez-vous mis en place ? Afin de vous guider dans la mise en place des différents axes de la cyber résilience, Stormshield vous invite à porter la réflexion sur ces 5 questions essentielles. Outre la question sur l’obligation de consulter les incidents liés à une fuite de données, ces questions portent essentiellement sur le « Privacy By Design » ou la nécessité de sécuriser de manière satisfaisante et dès le départ l’ensemble des traitements. Pour rappel, il s’agit d’adopter une stratégie en matière de sécurité dans le cadre d’une gestion des risques. Le but n’est pas d’éliminer tous les risques. En effet, vu l’augmentation du nombre et de la complexité des cybers attaques, une stratégie d’élimination pourrait être un frein à la productivité et à l’innovation. Il faut être en mesure de démontrer que des mécanismes de protection ont été mis en œuvre. Dans le cadre du GDPR, on parle d’Accountabilité Avez-vous envisagé une solution de chiffrement des données afin de répondre aux obligations du règlement ? Quelle approche adopter ?
5 questions essentielles Pouvez-vous assurer l’identification des utilisateurs sur votre réseau ? Dans la suite de la présentation, nous passerons en revue ces 5 questions essentielles afin de voir comment Stormshield vous aide à y répondre. La première de ces questions porte sur la nécessité d’identifier les utilisateurs afin d‘appliquer une politique de sécurité par utilisateur quel que soit l’endroit où il se trouve et la machine qu’il utilise Stormshield vous aide
Identifier les utilisateurs AUTHENTIFICATION MULTI DOMAINES MODE PARRAINAGE Authentification réseau par SNS RÈGLES DE FLUX PAR UTILISATEUR En effet, avec les nouveaux modes de consommation que sont le Bring Your Own Device, le Cloud ou le Shadow IT, l’identification par adresse IP n’est plus suffisante. Grâce à l’ensemble de ses méthodes d’authentification couplées à des règles de filtrage par utilisateur Stormshield, assure un contrôle efficace des personnes ayant accès aux données à caractère personnel MODE INVITÉ Stormshield vous aide
5 questions essentielles Avez-vous une stratégie intégrant la sécurité au centre du traitement des données ? Nous l’avons vu, les termes de « Cyber résilience » et « Privacy By Design » sont au cœur des obligations liées au GDPR. Ils visent d’une part à la mise en œuvre d’une gestion des risques en matière de sécurité informatique et d’autre part à la sécurisation des traitements des données à caractère personnel. Point 2 se réfère à l’article 32 “Sécurité de traitement” Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: la pseudonymisation et le chiffrement des données à caractère personnel; 4.5.2016 L 119/51 Journal officiel de l'Union européenne FR b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; Stormshield vous aide
Augmenter votre niveau de protection SVC Stormshield Visibility Center SES Stormshield Endpoint Security Multi Layer Collaborative Security SDS Stormshield Data Security La Multi Layer Collaborative Security, ou MLCS, est la réponse de Stormshield puisqu’elle assure une augmentation en temps réel et de manière automatique du niveau de protection d’une infrastructure. Cette approche s’articule autour de la solution Stormshield Visibility Center qui offre une vision à 360° des événements de sécurité des 3 lignes produits que sont Stormshield Endpoint Security, Stormshield Network Security et Stormshield Data Security. En collaborant les uns avec les autres, les différents moteurs de protection de ces 3 produits échangent des informations ce qui permet de contextualiser une menace et de prendre automatiquement les mesures qui s’imposent SNS Stormshield Network Security Stormshield vous aide
5 questions essentielles Comment répondez-vous à l'obligation de consultation des incidents de sécurité ? La consultation des incidents de sécurité en cas de fuite constitue une des obligations du règlement général sur la protection des données. L’utilisation d’un outil adéquat est donc un pré requis à la mise en conformité Stormshield vous aide
Note : slides dupliqués nécessaires pour la transition avec le suivant. Stormshield Visibility Center permet de répondre à cette nécessité. En déployant cette solution vous pourrez consulter l’ensemble des incidents de sécurité remontés par les 3 lignes de produit Stormshield. L’usage de tableaux de bord synthétiques facilite l’accès à l’information.
5 questions essentielles Quels moyens de traçabilité des usages des données personnelles avez-vous mis en place ? Assurer la traçabilité des usages offre un moyen de gérer les risques pour assurer une cyber résilience en identifiant rapidement qui fait quoi avec les données à caractère personnel Stormshield vous aide
Note : slide dupliqué nécessaire pour la transition avec le suivant. Tracer l'usage des données personnelles avec Stormshield Visibility Center Grâce aux tableaux de bord de Stormshield Visibility Center, vous pouvez facilement visualisez les dernières données à caractère personnel qui ont été partagées. Stormshield vous aide
Tracer l'usage des données personnelles avec Stormshield Visibility Center Avec les informations présentées vous êtes capable d’identifier qui a fait quoi et à quelle heure assurant ainsi une traçabilité sur l’usage des données à caractère personnel Stormshield vous aide
5 questions essentielles Le chiffrement des données à caractère personnel constitue un réel facilitateur dans la mise en conformité au GDPR. En effet, cette mesure technique assure une sécurisation dans le traitement des données et répond donc à la problématique du Privacy By Design Avez-vous envisagé une solution de chiffrement des données afin de répondre aux obligations du règlement ? Stormshield vous aide
Répondre à une obligation du règlement en protégeant vos données avec SDS Garantir un niveau de sécurité adapté au risque, y compris … la pseudonymisation et le chiffrement des données à caractère personnel “ ” Comme le montre cet extrait de l’article 32 du GDPR, le chiffrement des données à caractère personnel est donné à titre d’exemple comme un moyen à mettre en œuvre. L’utilisation de Stormshield Data Security permet de protéger les données personnelles quel que soit leur endroit de stockage, au sein de l’entreprise ou dans le Cloud, et quel que soit le moyen utilisé pour y accéder PC, tablette, smart phone Stormshield vous aide
3 points clés pour conclure Faites vous accompagner pour cartographier vos données à caractère personnel et démarrez votre gestion des risques Adopter une démarche de Cyber résilience avec la Multi Layer Collaborative Security de Stormshield En conclusion, la mise en conformité au règlement général sur la protection des données nécessite avant toute chose de vous faire accompagner par un spécialiste en la matière. Il va vous guider dans l’identification des données à caractère personnel ainsi que les traitements associés. Vous serez alors en mesure de démarrer la mise en œuvre d’une gestion des risques en matière de sécurité informatique afin d’assurer une cyber résilience. Cette cyber résilience s’appuie sur la notion de Privacy By Design où l‘ensemble des traitements des données à caractère personnel doivent être sécurisés. La Multi Layer Collaborative Security de Stormshield vous permet d’augmenter votre niveau de sécurité et vous assure une protection optimale basée sur des produits certifiés. Enfin, facilitez la mise en œuvre de certaines obligations vis-à-vis du GDPR en chiffrant vos données avec Stormshield Data Security Répondez aux obligations du règlement en chiffrant vos données à caractère personnel avec Stormshield Data Security Stormshield vous aide