A moins de 6 mois de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) dans l’Union européenne, on pourrait penser que les entreprises sont déjà bien engagées dans leur processus de mise en conformité. Mais satisfaire les exigences du RGPD n’est pas une mince affaire et nombreuses sont les entreprises qui présentent encore d’inquiétantes lacunes en la matière. Selon une étude publiée en juillet par Spiceworks, seuls 5 % des professionnels de l’informatique interrogés au Royaume-Uni et 2 % des répondants aux Etats-Unis estiment que leur entreprise est parée à appliquer le nouveau règlement.
Alors, comment expliquer que si peu d’entreprises soient préparées à adhérer à la nouvelle législation ? Dans bien des cas, elles sont freinées dans leurs efforts par le manque d’implication des dirigeants et de connaissances ou d’informations sur le sujet. Certaines entreprises ignorent même qu’elles sont concernées par le règlement.
Mais c’est avant tout la complexité croissante des réseaux modernes, avec leurs multiples bases de données et leur nombre croissant de périphériques réseau sur lesquels transitent constamment des données potentiellement sensibles, qui complique la tâche des entreprises.
De nombreuses entreprises font également l’erreur de considérer la conformité comme un objectif ponctuel à atteindre et non comme le fruit d’un effort continu. Passé le premier audit, elles relèguent la conformité au second plan, oubliant que d’autres audits suivront, dont elles pourraient ne pas se relever.
Pour pérenniser après la mise en œuvre du RGPD, ces entreprises vont devoir changer de mode de fonctionnement. Car les cybercriminels et les autorités de surveillance seront à l’affût du moindre signe de relâchement. Il est donc essentiel qu’elles inscrivent la conformité dans un processus continu et non ponctuel, quelle que soit leur envergure.
La clé : simplifier l’environnement informatique
Dans un contexte d’expansion constante des réseaux informatiques et de mobilité croissante, les équipes IT ont de plus en plus de difficultés à surveiller l’ensemble des ressources et des données de leur entreprise. Pour y parvenir et se conformer au RGPD, elles ont tout intérêt à commencer par simplifier leurs processus d’administration informatique.
La cartographie des données constitue une étape importante de cette démarche. En cartographiant régulièrement le réseau, au fil de ses évolutions, il est possible de déterminer avec précision comment les données circulent dans l’entreprise et d’ainsi collecter des informations cruciales au respect du RGPD, sur la localisation des données client sensibles, la manière dont elles sont utilisées ou encore les individus qui y ont accès, notamment.
La cartographie du réseau aide également à s’assurer de la conformité constante des règles de sécurité en place en permettant aux entreprises d’identifier aisément tout le trafic réseau de leurs différents services et applications sur la base de données d’utilisation effective.
Les administrateurs IT peuvent ainsi segmenter le réseau pour restreindre l’accès à certains types de données aux seules zones du réseau ou groupes d’utilisateurs appropriés afin de protéger les informations clients en cas de violation de données.
Des outils de gestion centralisée des règles de sécurité réseau existent, qui rationalisent l’administration des modifications du réseau et permettent d’instaurer des règles garantissant le respect des exigences en vigueur, indépendamment du volume de données traitées.
Ces outils simplifient ainsi le renforcement de la sécurité et la mise en conformité tout en conférant aux équipes informatiques un meilleur contrôle sur l’environnement.
La conformité : un effort continu
Avec l’entrée en vigueur du RGPD, les entreprises devront plus que jamais s’assurer que toutes les portes d’entrée de leur réseau resteront verrouillées. L’automatisation peut justement réduire drastiquement ces efforts.
La gestion automatisée des règles est utile aux efforts continus de mise en conformité à plus d’un titre. A l’heure où les réseaux évoluent constamment, il faut sans cesse réviser les règles en place : une tâche trop fastidieuse pour être effectuée manuellement. Les outils automatisés sont capables d’identifier les règles redondantes ou trop risquées bien plus rapidement et précisément que ne le feraient des techniciens IT.
Les solutions automatisées permettent également d’instaurer de nouvelles règles conformes aux exigences du RGPD sans générer de conflits avec les règles existantes. Elles simplifient considérablement cette tâche complexe et fastidieuse tout en éliminant les risques d’erreurs humaines. Et en plus de détecter les infractions et d’y remédier en temps réel, rationalisant ainsi grandement le travail des équipes IT, elles peuvent consigner et documenter chaque opération dans des journaux détaillés qui faciliteront les audits.
Qui plus est, la moindre modification d’une règle s’appliquant à un système peut affecter indirectement d’autres éléments du réseau et ainsi faire naître des failles. Grâce aux outils de gestion automatisée des règles, les techniciens IT bénéficient d’une visibilité globale sur le réseau et peuvent instaurer de nouvelles règles optimisées sur la base de l’analyse en temps réel de celles déjà en place. Les dirigeants ont ainsi l’assurance que l’ensemble du réseau est conforme aux exigences réglementaires.
Pour se conformer au RGPD 24h/24 et 7j/7, les entreprises n’auront d’autre choix que de recourir à des technologies qui leur simplifieront la tâche, telles que des solutions automatisées qui leur permettront d’identifier de manière proactive les risques et les vulnérabilités de leur réseau, aussi complexe soit-il, pour y remédier au plus tôt afin de ne jamais enfreindre le nouveau règlement.
L’échéance approche à grand pas, mais il est encore temps pour les entreprises de rattraper leur retard et de faire de la conformité au RGPD un véritable avantage concurrentiel.
__________
Erwan Jouan est Directeur régional Europe de l’Ouest de Tufin