Responsables informatique, DSI, responsables de la sécurité des systèmes d’information (RSSI) et leurs pairs… Tous se disent aujourd’hui accaparés par les obligations du Règlement général européen sur la protection des données (GDPR).

Etre en parfaite conformité avec ses principes suppose en effet de maîtriser la gestion des données de bout en bout. Etant donné la difficulté de la tâche, voici quelques conseils pour y parvenir.

Pour commencer, il faut chercher à bien appréhender et cerner les éléments concernés : de quel type de données s’agit-il ? Où sont-elles hébergées ? Où transitent-elles et par quel moyen ? Comment sont-elles protégées ? Pouvoir répondre à ces questions est le point de départ de la longue route menant vers la conformité réglementaire. Les organisations doivent passer en revue ces différents points pour connaître de manière exhaustive leur stratégie de protection des données.

Dès lors, procéder à un audit complet des données est un travail de longue haleine pour une organisation, mais essentiel. Avec l’augmentation exponentielle des volumes de données et la grande variété des services de cloud utilisés, brosser un portrait précis et exhaustif de la situation est une tâche complexe mais nécessaire.

Un audit a pour but de donner une visibilité totale sur les activités dans le cloud d’une entreprise et de ses collaborateurs. La première phase de l’enquête consiste à identifier tous les services de cloud utilisés au sein d’une organisation, qu’ils aient été approuvés ou non par la direction. Un rapport Netskope sur le cloud datant de septembre 2017 a révélé que les organisations utilisent en moyenne 1022 services hébergés dans le cloud. Les volumes de données téléchargées, partagées et stockées dans de nombreux services de ce type sont potentiellement énormes, mais si elles ne sont pas de nature « sensible » selon la définition du GDPR, il n’y aucune inquiétude à avoir. Pourtant, dans la réalité, la plupart sinon la totalité des entreprises traitent des données sensibles de toutes sortes, notamment des informations de type « PII » qui permettent d’identifier des citoyens de l’Union européenne – des collaborateurs ou des clients par exemple.

L’audit doit donc au départ offrir de la visibilité sur les services de cloud exploités et sur la destination des données communiquées. Ces informations permettent d’obtenir la liste des services de cloud et, ainsi, de permettre à l’organisation de définir si ceux-ci sont conformes au GDPR. Certains brokers d’accès Cloud sécurisés (CASB) proposent des solutions capables de compiler des évaluations de conformité avec le GDPR en notant chaque service de cloud en fonction de différents critères majeurs. Ces solutions présentent ensuite les résultats de leur étude dans un tableau de bord convivial et riche. Ce test d’évaluation de la conformité au GDPR comporte une série de questions pertinentes : quel est le niveau de chiffrement des données stockées appliqué par le service de cloud ? Qui en possède « les clés » ? Quelles sont les certifications de datacenter présentes ? Le service partage-t-il les données personnelles PII avec des tierces parties ? L’outil se base sur les réponses apportées à chacune de ces interrogations pour chacun des services.

Les résultats obtenus sont très instructifs. Nous avons parlé à des entreprises qui, dans leur cas, ont trouvé des données personnelles partagées via des liens accessibles au public, ainsi que des données clients sensibles partagées prématurément avec des tiers extérieurs.

A ce stade, l’entreprise qui réalise les audits sait quels services de cloud sont utilisés et le type de données exploitées par ceux-ci. Mais les solutions actuelles sont également en mesure d’indiquer si l’entreprise dispose ou non d’un accord de traitement des données (DPA) en place avec le service de cloud concerné. C’est une obligation du GDPR, à laquelle les entreprises doivent se conformer.

Les services dépourvus de ce type d’accord doivent être bloqués pour que les données ne leur soient pas transférées. Le test d’évaluation de la conformité passe au crible les données et les attributs transmis aux services de cloud afin de voir quelles sont les données classées dans la catégorie des PII selon les termes du GDPR.

Si des données sensibles sont communiquées en violation des règles, une plate-forme CASB peut les bloquer. L’objectif est de garantir la conformité mais aussi de fournir automatiquement à l’utilisateur des noms de services conformes qui permettront aux salariés de travailler sans faire courir de risques aux données. Les organisations disposent ainsi d’un moyen de contrôle préventif pour protéger leurs données.

Une entreprise a par ailleurs besoin d’en savoir plus sur les lieux de stockage de ses données hébergées ou transmises via les services de cloud : où se trouvent-elles géographiquement parlant ? De fait, l’utilisateur peut par exemple se trouver au Royaume-Uni alors que le service de cloud qu’il utilise est hébergé en Afrique du Sud. Cela ne pose pas forcément de problème ; le GDPR n’interdit pas aux entreprises de confier leurs données à des services hébergés hors d’Europe. Mais le cas échéant, elles doivent avoir la garantie que le fournisseur respecte les modalités du GDPR.

Une fois ces étapes de l’audit terminées, l’entreprise concernée sera mieux placée pour savoir ce qu’il lui reste à faire pour être en parfaite conformité avec le GDPR.

L’audit se décompose en plusieurs phases :

Recherche et analyse des applications de cloud utilisées par les collaborateurs de l’entreprise.

Mise au jour des données personnelles que les salariés font transiter par un cloud : s’agit-il d’informations clients telles que le nom, les coordonnées bancaires, l’adresse ou d’autres éléments permettant d’identifier la personne (PII) ? Ces données sont-elles définies comme « sensibles » dans le cadre du GDPR ?

Sécurisation des données. La réalisation d’une étude de conformité au GDPR permet de savoir si l’on dispose d’un DPA avec chacun des services de cloud utilisés par l’entreprise et ses salariés. Il convient de définir des politiques ad hoc qui assurent que les collaborateurs ne se servent pas de services de cloud non gérés pour traiter et stocker des PII.

Formation des collaborateurs aux meilleures pratiques, pour que tous adoptent sans peine les services approuvés par le service informatique.

Utilisation d’un CASB pour savoir si les applications et services de cloud utilisés dans l’entreprise sont à la hauteur de cette dernière. Cela permet à l’organisation de garantir la protection de ses données lorsqu’elles sont stockées et en transit.

Une fois l’audit terminé, l’organisation dispose des informations dont elle a besoin. L’étape suivante consiste à définir le plan d’action à mettre en œuvre pour exploiter ces informations dans le but de se mettre en conformité avec le GDPR. Nous aborderons ce sujet dans le prochain article de cette série.

Les fournisseurs de services de cloud et les organisations qui les utilisent doivent tous reconnaître les très nombreuses et importantes ramifications du GDPR en matière de contrôle et de protection des données. Les services de Cloud sont présents partout sur le lieu de travail aujourd’hui, compliquant le travail de suivi et de gestion des données personnelles. Les services informatiques doivent quant à eux passer au crible dès maintenant leurs données et les différents processus qui les traitent, pour s’assurer qu’ils sont en mesure de garder la mainmise sur ces informations sans risquer de pénalités pour non-conformité en 2018. A l’approche de cette date butoir, commencer par s’appuyer sur un audit approfondi pour se faire une idée précise de l’usage des services de cloud en interne est une excellente idée.

___________
Andy Aplin est Sales Engineering Manager de Netskope