Aller au contenu
Avanet
RGPD : comment Sophos peut vous aider

RGPD : comment Sophos peut vous aider

29. MARS 2018

Il y a déjà un certain temps que le Parlement européen a adopté, le 14 avril 2016, le nouveau Règlement général sur la protection des données, plus connu sous le nom de RGPD. Il entre en application le 25 mai 2018, ce qui signifie que les entreprises ont eu près de deux ans pour s’y préparer. Entre‑temps, beaucoup de choses ont été écrites sur le sujet, notamment parce que les entreprises américaines sont elles aussi tenues de se conformer au General Data Protection Regulation.

Dans cet article, nous souhaitons montrer dans quelle mesure Sophos peut vous aider à respecter les exigences du nouveau règlement. Nous ne détaillerons pas l’ensemble des 11 chapitres et 99 articles. De nombreuses dispositions restent relativement vagues et laissent une large place à l’interprétation. Les lobbyistes ont manifestement bien travaillé, car les grandes entreprises peuvent se permettre des procédures judiciaires qui durent des années afin de discuter chaque nuance de formulation. Pour les PME, c’est nettement moins idéal : des règles claires et simples auraient été préférables. Les premiers procès diront comment certains articles doivent être interprétés.

Précisons d’emblée que nous sommes basés en Suisse : oui, les entreprises suisses qui ont des clients dans l’UE sont également concernées par le RGPD.

De nombreuses entreprises ne font donc, pour l’instant, tout simplement rien et acceptent le risque d’être poursuivies. Certains États membres ont d’ailleurs déjà annoncé qu’ils ne disposaient pas des ressources nécessaires pour instruire toutes les plaintes.

Mais de quoi parle exactement ce nouveau règlement ?

Voici quelques exemples pour vous donner une idée des enjeux et de la manière dont la sécurité informatique peut vous aider :

  • Les citoyens de l’UE ont le droit d’obtenir une copie de leurs données personnelles auprès des entreprises.Pour certaines entreprises, cela pose déjà problème. Dans le pire des cas, un collaborateur devra passer plusieurs heures à rassembler toutes les informations pertinentes.
  • Les citoyens de l’UE peuvent demander l’effacement de leurs données.Là encore, c’est un défi pour le service informatique, car les sauvegardes sont également concernées. Or toutes les solutions de sauvegarde ne permettent pas de supprimer des enregistrements individuels, et cette obligation peut entrer en conflit avec les règles de conservation légale.
  • En cas de fuite de données, l’entreprise a l’obligation de notifier l’incident, sauf si les données étaient chiffrées.Cet exemple nous amène au cœur du sujet, car c’est précisément là que la sécurité informatique joue un rôle clé.

La sécurité informatique doit être prise au sérieux

De notre point de vue, il est plutôt positif que le RGPD apporte des arguments supplémentaires pour que la sécurité informatique soit enfin prise au sérieux. Ceux qui l’ignorent encore et estiment ne pas avoir besoin d’une solution solide pour leur entreprise risquent, tôt ou tard, d’être sanctionnés pour négligence grave. Nous voyons encore beaucoup trop de PC, de serveurs ou d’autres systèmes connectés directement à Internet, sans protection, et sur lesquels des correctifs et mises à jour critiques sont ignorés.

Ce n’est pas parce que Windows XP ne reçoit plus de correctifs qu’il est devenu sûr. Certains trouveront cela amusant, mais il y a réellement des utilisateurs qui le pensent.

Nous constatons également très souvent que des utilisateurs surfent sur le web avec des navigateurs qui n’ont pas été mis à jour depuis longtemps. Utilisez toujours un navigateur moderne et à jour du point de vue de la sécurité.

L’industrie du ransomware s’adapte

Nous vivons à une époque où les ransomwares et les exploits comptent parmi les méthodes d’attaque les plus efficaces. Cette « industrie » se prépare évidemment elle aussi au 25 mai. De nouvelles variantes de ransomware ont déjà été observées : elles ne chiffrent plus les données pour exiger des Bitcoins en échange de la clé, mais exfiltrent discrètement des données d’entreprise pendant des semaines avant d’afficher un message du type :

Nous avons vos données ! Transférez XXX Bitcoins ou nous les publierons.

Dans un tel scénario, les sauvegardes – que beaucoup considéraient comme la solution idéale face aux ransomwares classiques – ne suffisent plus. Si les données volées sont publiées, les conséquences sont doubles : atteinte à la réputation et amende infligée par l’UE pouvant atteindre 20 M€ ou 4 % du chiffre d’affaires annuel.

Une protection simple et relativement abordable

Il existe quelques règles de base qu’il convient toujours de respecter :

  • Utiliser un système d’exploitation récent (PC, serveur, smartphone, objets connectés).
  • Appliquer régulièrement les mises à jour logicielles.
  • Installer une solution antivirus professionnelle. → À notre avis, des solutions comme Avira, Avast, Windows Defender et consorts ne suffisent pas si l’on s’intéresse à la technologie sous‑jacente. Nous parlons bien de technologie, car le marketing et les descriptions de ces produits sont souvent très convaincants. Si l’on s’y fie, ces solutions gratuites vous protègent également contre tout. En complément, nous recommandons systématiquement Sophos Intercept X. Pour les serveurs, il existe Sophos Server Protection.
  • Chiffrer les supports de données (disques durs, clés USB, etc.). → Cela est utile en cas de perte d’un appareil. BitLocker pour Windows et FileVault pour macOS sont de bonnes options. Vous pouvez les activer manuellement sur quelques postes ou gérer un grand nombre d’appareils de manière centralisée via Sophos Device Encryption.
  • Chiffrer les fichiers. → Il existe des outils tels que VeraCrypt (successeur gratuit de TrueCrypt) ou Cryptomator. Avec VeraCrypt, toutes les données sont placées dans un conteneur unique, ce qui est peu pratique et pas idéal en matière de sécurité (par exemple, un seul mot de passe pour toutes les données). Cryptomator (également gratuit) gère cela mieux : chaque fichier est chiffré avec sa propre clé (y compris le nom de fichier) et les fichiers restent séparés, ce qui simplifie également les sauvegardes. Qu’en est‑il de Sophos ? Pour les petites entreprises, il n’existe, selon nous, pas encore de solution vraiment adaptée, à moins de déployer un serveur Windows avec base de données et intégration AD, auquel cas Sophos SafeGuard est une bonne option. Quel que soit le produit choisi, un chiffrement efficace repose sur un mot de passe robuste – qui ne doit pas être le même partout.

Le RGPD mentionne explicitement le chiffrement comme méthode appropriée pour protéger les données en cas de violation (article 34).

  • Sensibiliser les utilisateurs. → Idéalement, les mécanismes de protection sont en place, mais ne sont jamais nécessaires – un peu comme les sauvegardes. Malheureusement, certains utilisateurs ne le savent pas et cliquent sur tous les liens ou réagissent de manière inappropriée aux e‑mails de phishing, ce qui peut avoir un impact très négatif sur la sécurité informatique. C’est là qu’intervient par exemple Sophos Phish Threat : vous pouvez lancer des campagnes de phishing et mettre vos collaborateurs à l’épreuve, puis les former. L’objectif est de développer leur sens critique pour qu’ils réalisent qu’un e‑mail n’est pas forcément authentique, même s’il semble parfait.
  • Sécuriser les appareils mobiles. → Les e‑mails professionnels, contacts et calendriers se trouvent souvent sur des appareils mobiles. Les données d’entreprise circulent également de plus en plus. Les ordinateurs portables, smartphones et tablettes doivent donc être protégés, soumis à des politiques cohérentes et, si nécessaire, pouvoir être effacés à distance. Sophos Central Mobile est là pour vous y aider.
  • Sécuriser les réseaux. → Une fois qu’au moins 50 % des points ci‑dessus sont couverts, vous pouvez vous pencher sur la sécurité du réseau. Un pare‑feu correctement configuré peut faire une réelle différence, et il permet également de sécuriser les réseaux sans fil. Voir Sophos XG Firewall.
  • Chiffrer les e‑mails. → On parle depuis longtemps de chiffrer les e‑mails, mais en dehors de certains secteurs, cette pratique reste rare, essentiellement parce qu’elle n’est pas très confortable. Sophos propose plusieurs solutions dans ce domaine, mais pour être honnêtes, nous ne les considérons pas encore comme pleinement matures ni spécialement adaptées aux PME.

Ce sont, en résumé, les principaux points que nous vous recommandons d’aborder afin de ne pas figurer parmi les premières entreprises à enfreindre involontairement le RGPD. 😉

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.