Cet article de blog est le troisième d’une série dont le but est d’aider les dirigeants d’entreprise et les cadres responsables de la sécurité à se préparer au RGPD tout au long de l’année 2017.
Votre entreprise compte transférer des applications vers le cloud ? Si oui, elle est loin d’être la seule… Mais avez-vous songé aux répercussions qu’aura le règlement général sur la protection des données (RGPD) de l’Union européenne sur ce projet ?
McAfee perçoit le RGPD comme une occasion à saisir de transformer la sécurité — la possibilité d’en finir avec une approche de la sécurité purement axée sur la conformité et de passer à une stratégie qui met l’accent sur la protection de la vie privée et la sécurité dès la conception.
Le nouveau règlement rompt avec les précédents paradigmes de la conformité et, plutôt que d’imposer les technologies de sécurité à mettre en œuvre, exige des entreprises qu’elles développent des capacités durables. Finies les longues listes de vérification… C’est le moment idéal de réexaminer l’intégralité de votre stratégie de sécurité et de protection des données pour renforcer sa résilience. Nous sommes convaincus que le RGPD contribuera à transformer la façon dont est perçue la sécurité informatique. Celle-ci devrait apparaître comme un vecteur de développement de l’entreprise et, surtout, comme essentielle pour l’adoption de services de cloud en toute sécurité.
Peu importe que vous migriez d’anciennes applications vers le cloud public, adoptiez une solution de stockage dans le cloud ou optiez pour des applications d’entreprise fournies sous forme de services de cloud facturés à l’utilisation telles qu’Office 365. Vous devez réfléchir à l’impact qu’aura le RGPD et profiter de l’occasion pour étendre votre stratégie de sécurité pour le cloud.
McAfee souhaite que votre entreprise ouvre sans crainte ses portes au cloud. Pour vous y aider, voici quelques questions et points importants à garder à l’esprit lorsque vous vous entretiendrez avec votre fournisseur de services de cloud. Vous pourrez ainsi aborder la question de la préparation au RGPD et de la sécurité en général en connaissance de cause :
Votre fournisseur de services de cloud dispose-t-il d’une politique en matière de protection de la vie privée ? La mise en place de politiques de sécurité fiables et transparentes constitue la première étape. Bien souvent, le RGPD exige la désignation d’un délégué à la protection des données chargé de superviser le programme. Demandez également à discuter avec le délégué à la protection des données de votre fournisseur de services de cloud.
Comment utilisez-vous les données collectées ?
Les fournisseurs sont tenus de vous renseigner sur leurs méthodes d’utilisation (le cas échéant) des données collectées par leurs services, ainsi que sur les mesures prises pour protéger ces données. Bien souvent, les données collectées sont employées dans le cadre d’analyses ou à d’autres fins légitimes. Ces processus ne doivent cependant pas vous exposer à des risques supplémentaires.
Quels cadres, normes ou certifications de sécurité avez-vous choisi d’adopter ? Ou avec lesquels vos services sont-ils en conformité ?
Il existe plusieurs cadres de procédures et guides sectoriels qui fixent une série standardisée d’exigences et de contrôles pour la protection des services de cloud. Par exemple, FedRAMP est un programme complet qui vise à délivrer des autorisations aux services de cloud à l’intention du gouvernement des États-Unis. Il s’appuie cependant sur des publications du NIST et son adoption pourrait se généraliser. Au niveau international, il y a la norme ISO 27002, pour laquelle la CSA (Cloud Security Alliance) fournit des guides supplémentaires. Les fournisseurs de services de cloud doivent s’appuyer sur l’un des cadres disponibles pour évaluer et surveiller en continu leur niveau de maturité.
Êtes-vous capable de détecter une violation de données et d’assurer une réponse efficace ?
Statistiquement, plus de la moitié des violations de données sont détectées par un tiers. Le RGPD exige de l’entreprise victime d’un tel incident — la vôtre, en l’occurrence — qu’elle le signale à l’autorité de contrôle compétente au plus tard 72 heures après en avoir pris connaissance. Il est donc primordial d’être en mesure de déceler les violations de données potentielles et de disposer d’un plan de réponse éprouvé à l’aide de simulations. Demandez à votre fournisseur de services de cloud s’il peut assurer ces fonctions via un centre SOC ou CSIRT, dont il dispose éventuellement en interne ou auquel il a accès sous forme de service managé.
Où conservez-vous et traitez-vous les données collectées ?
L’endroit où résident les données est probablement la principale préoccupation lorsqu’il est question de services de cloud et de préparation au RGPD. Votre fournisseur de services de cloud dispose-t-il de centres de données dans l’Union européenne ou uniquement aux États-Unis ? Où stocke-t-il et traite-t-il ses données ? Sont-elles déplacées de l’UE vers les États-Unis ? Ces quelques interrogations peuvent trouver réponse en mettant en œuvre des mesures adéquates de chiffrement des données au repos, de contrôle de l’accès et de gestion des clés.
Bien que la liste de questions ci-dessus ne soit pas exhaustive, elle résume très bien les éléments à prendre en considération lors d’une discussion avec un fournisseur de services de cloud au sujet du RGPD. Espérons que cette lecture vous aidera à prendre des décisions plus avisées en tant qu’utilisateur de ces services et à vous engager sur la voie de la préparation au RGPD. Mais plus important encore, ces conseils vous permettront certainement de migrer vers le cloud en toute sécurité.