9 mar 2018
Gert Lambers

Voici un nouvel article de blog consacré au RGPD. Comme si vous n’en aviez pas assez entendu parler ces derniers temps. Mais cette fois, nous allons à l’essentiel : comment optimiser votre infrastructure TIC pour le RGPD ? Découvrez des conseils pratiques. Penchons-nous aujourd'hui sur la partie 1 : infrastructure & appareils.

Le Règlement général sur la protection des données - de quoi s’agit-il ?

En anglais, on parle de General Data Protection Regulation. Vous en avez probablement déjà entendu parler et, si ce n’est pas le cas, consultez quelques autres blogs.

Que faut-il en faire ? Le RGPD a des retombées sur différents plans. Vous allez devoir vous conformer sur le plan juridique en faisant appel à des nouveaux contrats ou contrats adaptés et à des avenants. Vous devrez aussi établir de nouvelles conventions avec vos partenaires, clients et fournisseurs concernant le traitement de données.

Mais ce n’est pas tout. Votre infrastructure TIC devra également répondre à plusieurs exigences minimales afin que vous puissiez continuer de travailler même lorsque tous vos contrats et éléments juridiques, comme un registre des données, sont en ordre.

Vous remarquerez que sur le plan technique des TIC, le RGPD a surtout un impact sur la manière dont vous devez protéger cet environnement TIC et les données qui s’y trouvent. Une attention accrue doit donc être accordée à la sécurité informatique. La sécurité prime véritablement.

Nous allons vous expliquer dans cet article/cette série cinq points d’attention concernant votre infrastructure sur lesquels vous devez vous pencher et auxquels vous devrez probablement apporter des adaptations. À commencer par l’infrastructure et les appareils.

Votre infrastructure centrale

ICT optimaliseren voor GDPR

Pour cette partie, nous allons utiliser l'image d'une forteresse. Comme expliqué dans l’introduction, la protection est clé lorsqu'il est question de TIC et de RGPD. En plus du fait que vous ne pouvez disposer que de données qui répondent aux normes juridiques, vous devez également garantir que ces données soient suffisamment protégées. Les TIC peuvent et doivent jouer un rôle important à cet égard !

Un pare-feu

Prenons votre infrastructure TIC centrale. Elle ressemblait probablement jusqu’à il y a quelques années à une forteresse. L’ensemble de votre matériel TIC se trouvait à un endroit que vous contrôliez (votre bureau) et était uniquement accessible des personnes auxquelles vous aviez spécifiquement donné une autorisation.

Tout comme vous ne laisseriez pas n’importe qui entrer, vous faites de même avec votre accès numérique (votre connexion à Internet). Selon vos besoins, il sera lent ou rapide, simple ou redondant, mais il est important que vous protégiez cet accès. En faisant appel à un bon pare-feu. Non seulement installé et correctement configuré (n’oubliez pas de réfléchir au trafic sortant) mais aussi entretenu, contrôlé et tenu à jour.

Nous avons un pare-feu. Nous sommes donc prêts !

Dans le contexte technologique actuel, un pare-feu destiné à protéger le périmètre de votre environnement TIC (et représentant donc l’enceinte qui entoure la forteresse) n’est cependant que le début. Tout comme cette enceinte autour de la forteresse ne suffira probablement pas aujourd'hui à résister aux formes de guerre modernes.

Il arrive très souvent que le travail ne se fasse plus depuis notre fort (le bureau central). Votre personnel travaille aussi depuis son domicile. Il se connecte à votre réseau à l’aide du WiFi. Montrer des démonstrations en ligne de votre produit chez des clients, communiquer par e-mail, utiliser différentes applications dans le cloud. Les menaces proviennent de tous les fronts et le pare-feu n’est donc qu'un début. Il reste utile et souvent nécessaire, mais n’est que le début.

Encore quelques bases

Limitons-nous encore quelque peu à votre environnement de bureau et à l’infrastructure TIC qui s’y trouve. En plus du pare-feu destiné à défendre l’accès numérique à ce réseau, il y a plusieurs autres éléments auxquels vous devez également accorder de l’attention.

Configuration de base

Votre infrastructure TIC se compose de dizaines, de centaines voire plus encore d’appareils. Des appareils ayant chacun leur utilité spécifique. Switches, routeurs, pare-feu, serveurs, antennes WiFi, câblage, armoires de câblage, etc. Autant d’éléments liés au cœur de votre infrastructure TIC et autant de voies d’accès potentielles à votre réseau.

Vous devrez donc vous assurer que tous ces appareils sont configurés de manière suffisamment sûre. Les mots de passe pour la gestion de ces appareils (s’ils sont dotés d'une interface de gestion) ont-ils été modifiés ou sont-ils toujours identiques au mot de passe standard initial ? S'ils n’ont pas été modifiés, il sera assez aisé d’utiliser par exemple votre antenne WiFi pour modifier sa configuration en quelque chose de moins bien intentionné.

Veillez également à ce que tous ces appareils qui entrent en ligne de compte soient régulièrement contrôlés et assurez-vous que le firmware et/ou logiciel qui tourne dessus est toujours à jour. Les correctifs et mises à jour sont fournis par les fournisseurs pour combler les failles de leurs systèmes. Ne manquez dès lors jamais leur installation...

Accès physique

Qui peut accéder à l’infrastructure critique qui se trouve encore dans vos bureaux (les serveurs, le pare-feu, l’infrastructure réseau, les WiFi Access Points,…) ? Exercez-vous un contrôle sur ces accès et avez-vous assez réfléchi à la question ?

WiFi

Si vous disposez d'un accès WiFi au réseau pour vos collaborateurs, ayez conscience que ce signal ne s’arrête peut-être pas aux murs de votre bureau. Votre environnement WiFi est-il suffisamment sécurisé ? Savez-vous qui a accès à votre réseau WiFi, ou avez-vous déjà partagé ce code avec des clients, fournisseurs, etc. ?

Si vous mettez du WiFi à la disposition de tiers (personnes autres que vos collaborateurs) dans votre bureau, cet accès est-il suffisamment séparé de votre environnement de réseau interne ?

Antivirus / Antimalware / mises à jour / chiffrement

Nous avons déjà parlé de l’actualisation et de la tenue à jour de vos systèmes, mais au vu de l’importance de ce point, nous allons l’aborder à nouveau.

Il est également recommandé de toujours installer un antimalware fonctionnel (un peu plus large qu’un antivirus) sur tous les appareils adaptés à cette fin (serveurs, clients, appareils mobiles, etc.).

Un chiffrement devrait le cas échéant également être appliqué lorsque possible. Au niveau des disques de votre système de stockage, mais aussi du trafic sur le réseau WiFi par exemple. Il y a un élément qui est souvent occulté dans ce contexte : votre sauvegarde. Car elle contient aussi (si elle est de qualité) l’ensemble de vos données, et donc les données soumises au RGPD.

Veillez à ce que votre plan B soit prêt

Même si tout ce qui précède est en ordre, vous n’êtes pas à l’abri d'un problème. Un virus est parfois plus rapide que l’antivirus. Veillez donc à toujours avoir à disposition un plan B, sous la forme d'un plan de continuité des affaires, d'une sauvegarde fonctionnelle et entièrement testée et d’une procédure de reprise.

Le cheval de trait/vos appareils

ICT optimaliseren voor GDPR

Après avoir utilisé l’image de la forteresse, utilisons à présent celle du cheval de trait. Le cheval de trait avec lequel vous travaillez jour après jour. Ou, et c’est un peu plus complexe, les chevaux de trait. Car vous disposez plus que probablement de plus d'un appareil personnel qui se connecte d'une manière ou d'une autre au réseau et avec lequel vous accédez aux données de votre entreprise (et qui sont donc sensibles au RGPD).

Tout est dans le cloud - je suis donc prêt

Pas tout à fait. Si seulement c'était vrai. Même les entreprises qui ont pratiquement tout déplacé dans le cloud conservent un semblant d'infrastructure de base (accès à Internet par exemple, ou le WiFi). Ce qui précède doit dès lors être pris en compte pour ces composants locaux.

Dans le cas des applications cloud également, il est préférable de s’assurer que tout est en ordre au niveau du RGPD. Poussez donc vos fournisseurs de cloud à agir, intéressez-vous aux clauses ajoutées aux contrats, demandez de quelle manière vos données sont protégées, tant sur les serveurs de votre fournisseur de cloud (au repos) que lorsque vous utilisez ces données et qu’elles sont donc transportées sur l’Internet (en transit).

Par ailleurs, utilisez aussi ce critère lors de la sélection de nouveaux partenaires et fournisseurs cloud. S’ils ne peuvent apporter de réponse correcte aux questions susmentionnées, ils ne seront peut-être pas les partenaires idéaux auxquels confier vos données !

Configuration de base

Tout comme pour les composants de votre infrastructure centrale, il convient également de commencer par les bases en ce qui concerne les appareils.

Cela veut donc également dire que les appareils doivent être tenus à jour. Installez donc les correctifs et mises à jour des fournisseurs (logiciel et matériel !) sur une base régulière afin d’avoir la certitude de bénéficier de la meilleure sécurité sur ce plan.

Optez en outre pour la bonne solution antimalware pour éviter les problèmes avec les virus et autres (en combinaison avec des mises à jour exécutées de manière correcte et ponctuelle).

Optez lorsque possible pour le chiffrement. Votre appareil est équipé d’un disque dur ? Appliquez alors le chiffrement à l’ensemble de votre disque dur. L’utilisateur n’en remarquera rien et si le disque tombe entre les mauvaises mains, vous aurez la certitude que les données qui s’y trouvent ne seront pas lisibles. Par ailleurs, appliquez également le chiffrement aux supports de données mobiles, comme les clés USB ou les disques durs mobiles !

Gestion générale de vos appareils

Même une fois vos appareils correctement configurés, de manière sûre, vous n’en avez pas encore terminé. Savez-vous, en votre qualité de propriétaire ou gestionnaire de votre réseau, avec quels appareils vos utilisateurs consultent vos données ?

En disposez-vous d'une liste complète et tous ces appareils sont-ils conformes aux exigences minimales d'un appareil professionnel sûr (chiffrable, possibilité de bloquer ou d’effacer l’appareil à distance, etc.) ?

La technologie permet aujourd'hui de contrôler les appareils que vous autorisez sur l’infrastructure et ceux que vous n’autorisez pas. Dans le cadre du RGPD, il est également nécessaire d'implémenter cette technologie et de l’utiliser.

Vous êtes prêt à passer à la pratique ?

Aurelium aide les PME à identifier leurs risques liés au RGPD et établit un plan avec vous pour rendre votre entreprise conforme au RGPD. Contactez-nous sans engagement pour obtenir une offre et une approche !

Envie d'optimiser votre infrastructure TIC dans le cadre du RGPD ? Contactez-nous pour obtenir des renseignements personnalis├®s.