Extrait du livre blanc « comment les données machine assurent la conformité au RGPD ». Livre blanc complet disponible sur www.splunk.com
GDPR : General Data Protection Regulation.
RGPD : Règlement Général sur la Protection des Données.
Données machine : Elles sont partout, générées par vos équipements actifs et applications métiers.
Gestion de la sécurité et notification des violations
Article 32 – Sécurité du traitement
Scénario :
Un employé de votre service des ressources humaines a reçu un e-mail d'hameçonnage ciblé qui lui demande de réinitialiser le mot de passe système.
Cet e-mail d'hameçonnage n'a pas été bloqué par votre filtre antispam et le format de l'e-mail semble légitime, de sorte que votre employé a cliqué sur le lien, et brusquement, ses identifiants d'accès se sont retrouvés aux mains de l'assaillant (ces mêmes identifiants qu'utilise votre employé pour accéder à votre système RH), exposant les données personnelles de toute votre force de travail.
Réglementation :
Le RGPD exige une sécurité de traitement (Article 32), ce qui signifie que les organisations qui traitent des informations personnelles doivent mettre en œuvre « des mesures techniques et organisationnelles appropriées pour assurer un niveau approprié de sécurité face au risque ». Cela implique de tenir compte de l’état de l'art et d'appliquer les mesures techniques les plus en pointe pour éviter un accès non autorisé aux données personnelles.
Approche Splunk :
Les renseignements issus des données machine fournissent des alertes précoces en cas de menace pour votre infrastructure numérique. Votre environnement numérique produit des volumes considérables de journaux d'activités qui peuvent identifier des anomalies dans le comportement des utilisateurs et détecter des accès non autorisés.
Les données machine peuvent ainsi signaler une activité de connexion émanant d’un employé absent, en vacances ou malade, et déclencher un avertissement. Vous pouvez également être informé lorsqu’un nouveau périphérique mobile s’intègre au système ou se connecte à un VPN : cet avertissement précoce de risque de vol d’identifiants peut vous permettre d’éviter une exfiltration de données. L'analyse des données machine peut le faire très rapidement et en temps réel.
Les renseignements issus des données machine permettent aux entreprises de rapidement détecter les violations, enquêter dessus et estimer leur ampleur. Une analyse détaillée peut permettre de retracer de quelle manière et à quel moment l'assaillant a pénétré dans l'environnement, quels systèmes et données ont été consultés et quand, combien de personnes/dossiers sont concernés et quelles mesures correctives doivent être prises. Et toutes ces informations vous permettent de satisfaire à l’exigence de notification.
Audits de protection des données
Article 58 – Capacité d'investigation de surveillance
Scénario :
Vous êtes victime d'une violation causée par une vulnérabilité non publique : vous avez évalué l'ampleur de l'attaque, découvert que des données personnelles étaient exposées, identifié les personnes concernées, signalé la violation et pris les mesures correctives afin de réduire le risque.
Aujourd’hui, les personnes concernées demandent une compensation et l'autorité de tutelle veut effectuer un audit de protection des données pour vérifier si la sécurité « prend en compte l'état de l’art » pour sécuriser vos activités de traitement.
Règlementation :
Le RGPD accorde à chaque autorité de tutelle le pouvoir de procéder à des investigations sous la forme d'audits de protection des données, d'émettre des avertissements, des réprimandes ou des interdictions de traitement des données (Article 58) et d'imposer des amendes allant jusqu'à 20 millions d'euros ou 4% du CA annuel total d'une entreprise, selon la valeur la plus importante. En outre, l'Article 82 offre à toute personne ayant subi des dommages matériels ou non matériels le droit de bénéficier d'une compensation.
Les amendes peuvent être évitées si une partie est en mesure de prouver qu'elle n'était en aucune manière responsable de l'événement à la source des dommages. Pour ce faire, les entreprises doivent documenter leurs actions et démontrer leur conformité à l'autorité de tutelle.
Approche Splunk :
Les données machine offrent les informations historiques dont les entreprises ont besoin pour fournir la preuve aux contrôleurs et aux autorités de tutelle qu'elles ont mis en place des contrôles de sécurité appropriés et agi de manière à réduire le risque.
Qu'il s'agisse de leur configuration technique et de leurs modifications, de l'historique des réinitialisations des mots de passe ou de l'historique des mises à jour, les données machine peuvent être utilisées pour documenter tout cela et bien d’autres aspects essentiels de la sécurité.
Recherche et rapport sur le traitement des données personnelles
Articles 15, 17, 18 et 28 (Droits des personnes concernées)
Scénario :
Votre entreprise fournit des services de paie à des petites entreprises dans toute l'Europe. De ce fait, chaque mois, vous traitez de grandes quantités de données personnelles, et de temps à autre, des clients vous demandent de produire des rapports.
L'un de vos anciens clients a récemment été victime d'une violation et vous contacte dans le cadre d'un audit de confidentialité des données qu'effectue son autorité de tutelle. On vous demande de fournir un rapport documentant les personnes ayant accédé aux données personnelles du client sur le site de votre entreprise, au cours des 12 derniers mois.
Cet ancien client souhaite également une preuve que vous avez supprimé les données personnelles de votre système (ainsi que toutes les copies de sauvegarde) après la résiliation du contrat.
Règlementation :
La RGPD garantit aux citoyens de l'UE le droit de savoir quelles données personnelles les concernant sont détenues, avec qui elles sont partagées et où elles sont traitées (Article 15).
Les personnes concernées peuvent également demander à ce que leurs données personnelles soient corrigées (Article 16) ou supprimées (Article 17).
Les personnes responsables du traitement doivent s'assurer que seules des personnes autorisées traitent les données personnelles, et quand le traitement est terminé et le contrat résilié, le contrôleur peut demander à ce que toutes les données personnelles soient supprimées ou renvoyées, y compris dans certains cas, toutes les copies de sauvegarde existantes.
Approche Splunk :
Les données machine fournissent aux entreprises une visibilité de bout en bout sur leurs activités de traitement : des informations critiques pour la conformité à la RGPD.
Les données machine peuvent vous aider à démontrer quelles données personnelles ont été consultées, par qui, comment elles ont été utilisées et quand elles ont été supprimées.