AIDER À GÉRER LA GOUVERNANCE DES DONNÉES POUR LE GDPR AVEC RSA SECURITY

Transcription

1 AIDER À GÉRER LA GOUVERNANCE DES DONNÉES POUR LE GDPR AVEC RSA SECURITY GESTION DES DÉLAIS EN MATIÈRE DE CONFORMITÉ AU GDPR

2 SE PRÉPARER TÔT AU GDPR EST ESSENTIEL, DANS LE MONDE ENTIER Le GDPR de l Union européenne impose aux organisations qui traitent des données personnelles de citoyens de l UE, où qu elles soient intégrées, des obligations liées entre elles, notamment : l adoption de règles et procédures visant à assurer et à prouver que les informations d identification personnelle sont gérées conformément à la réglementation ; la mise à jour de la documentation relative à toutes les opérations de traitement ; l évaluation des risques de sécurité que représentent les données électroniques et physiques pour les données personnelles, y compris la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l accès aux données personnelles transmises, stockées ou traitées de quelque manière que ce soit ; la mise en œuvre de contrôles techniques et organisationnels afin de garantir un niveau de sécurité approprié par rapport au risque ; la mise en œuvre de procédures visant à vérifier l efficacité des contrôles alignés sur les résultats de l évaluation des risques ; la mise en place d évaluations de l impact de la protection des données sur le traitement prévu des données personnelles confidentielles ; la fourniture d informations transparentes sur les activités de traitement, les politiques de rétention, les droits liés aux données, ainsi que sur d autres sujets, aux résidents de l Union européenne au moment de la collecte des informations et sur demande ultérieure ; pour certaines organisations, la nomination d un responsable de la protection des données chargé de garantir la conformité de l organisation aux exigences du GDPR de l Union européenne. Le Règlement général sur la protection des données (GDPR) de l Union européenne, qui prendra effet en mai 2018, imposera des modifications aux entreprises qui traitent des informations d identification personnelles de résidents européens. Ce règlement est conçu pour renforcer la confidentialité et la sécurité des informations d identification personnelle au sein de l Union européenne, que ces données soient stockées dans l Union européenne ou en dehors. Le GDPR concerne toutes les entreprises installées dans l Union européenne, ainsi que toutes les entreprises hors de l Union européenne qui contrôlent ou traitent des données personnelles relatives à des résidents de l Union européenne, ce qui en fait une exigence de conformité véritablement globale. Le non-respect des exigences du GDPR peut avoir un impact négatif considérable : l incapacité à atteindre et à assurer la conformité peut entraîner des amendes représentant jusqu à 4 % du chiffre d affaires mondial annuel de l organisation, ou 20 millions d euros, le plus élevé de ces deux montants étant retenu. Sans une approche holistique de la conformité au GDPR, les organisations peuvent prématurément épuiser les ressources humaines et les ressources en capital disponibles, et prendre trop de temps à se préparer à la réglementation à venir. Le GDPR précise de nombreuses actions que les organisations doivent mettre en place : nommer un responsable de la protection des données, signaler toute violation dans les 72 heures, acquérir tout accord spécifique, et bien plus encore. Toutefois, au cœur du GDPR se trouve la nécessité de mettre en œuvre des bonnes pratiques en matière de gouvernance des données pour sécuriser et protéger les informations d identification personnelle d ici mai Alors que le règlement n impose pas tous les détails de la mise en œuvre de la gouvernance des données par les organisations, il accorde beaucoup d importance à la mise en œuvre «...de mesures techniques et organisationnelles visant à garantir la sécurité du traitement». (Article 32 du GDPRR - Sécurité du traitement Pour assurer la conformité, la réglementation impose également des contrôles, des tests et la documentation de ces pratiques. Les organisations doivent protéger les informations d identification personnelle de plusieurs manières et doivent être en mesure de prouver leur capacité à tenir des enregistrements des activités de traitement, y compris des catégories de données personnelles traitées, de l objectif du traitement, des catégories de destinataires des informations d identification personnelle, des transferts vers des pays tiers et des mesures de sécurité techniques et organisationnelles appropriées, tout en s assurant que seuls les utilisateurs autorisés ont accès aux données. DOMAINES CLÉS DE LA GOUVERNANCE DES DONNÉES : La gouvernance des données s inscrit dans trois domaines clés. Même s ils ne sont pas nouveaux, ces domaines clés fournissent un cadre de base pour que les organisations se concentrent sur le renforcement de leur position en matière de conformité au GDPR. Mettre en place des contrôles et des règles liés à la collecte et à l utilisation des données S assurer que l accès aux informations d identification personnelle se fait de manière adéquate et contrôlée S assurer que les informations d identification personnelle sont correctement traitées et protégées 2

3 Les organisations doivent définir et appliquer des contrôles efficaces concernant l utilisation des informations d identification personnelle, établir et gérer les exigences de conservation et maintenir un enregistrement des activités de traitement des informations d identification personnelle. En améliorant le cadre et les contrôles liés à l utilisation des informations d identification personnelle, l organisation est plus à même de gérer les risques de sécurité, de contrôler l accès et de s adapter aux exigences de création de rapports en matière de gestion des informations d identification personnelle. Pour gérer l accès aux données, les organisations doivent mettre en place une solution de gestion de l identité et de l accès (IAM) visant à protéger les informations personnelles et confidentielles. La gestion des identités regroupe plusieurs composants : authentification lors de l accès aux données, mais aussi gouvernance globale des identités et des niveaux d accès au sein de l organisation. En ayant recours à l authentification à plusieurs facteurs, les organisations peuvent déterminer si les utilisateurs sont bien ceux qu ils prétendent être. Il est essentiel d avoir cette certitude dans le cadre de la protection des informations d identification personnelle, afin de permettre l accès uniquement aux utilisateurs autorisés. Utilisées en conjonction avec l authentification, la gouvernance des identités et la gestion du cycle de vie permettent aux organisations de répondre à deux questions critiques : l utilisateur dispose-t-il du niveau d accès adéquat? L accès est-il conforme aux règles? Prouver que l accès est approprié, conforme aux règles et auditable contribue à assurer la conformité globale. Lorsque l accès aux données est géré et que des règles et des contrôles sont mis en place, les organisations savent que les informations d identification personnelle dont elles disposent sont utilisées aux fins appropriées et que l accès est limité uniquement aux utilisateurs autorisés. Ces bonnes pratiques de gouvernance des données sont conformes au GDPR : elles offrent une protection supplémentaire contre la destruction accidentelle, la perte, l altération, la divulgation non autorisée ou l accès aux données personnelles. RSA : PRISE EN CHARGE D UNE APPROCHE GLOBALE POUR GÉRER LA GOUVERNANCE DES DONNÉES RSA propose des solutions de sécurité orientées métier qui lient de façon unique le contexte commercial aux processus de sécurité pour que les entreprises puissent gérer les risques et protéger les données les plus importantes. Les solutions RSA sont conçues pour aider les organisations à détecter les attaques avancées et à y répondre efficacement, à gérer les identités des utilisateurs et les accès et enfin, à réduire les risques métiers, ces étapes étant essentielles pour que les organisations développent une stratégie globale en réponse au GDPR. En tenant compte des exigences du GDPR, examinons de plus près le portefeuille de produits et services RSA et voyons comment ces offres donnent aux organisations les moyens de se préparer au GDPR. RSA SECURID SUITE Au cœur de la gouvernance des données propres au GDPR se trouve la nécessité de gérer les utilisateurs ayant accès aux informations d identification personnelle, notamment en auditant comment l accès a été obtenu, et en garantissant que les utilisateurs qui y accèdent sont réellement ceux qu ils prétendent être. La vérification de l accès est essentielle pour éviter les violations résultant d une utilisation non autorisée des données. 3

4 La solution RSA SecurID Suite, y compris RSA SecurID Access et RSA Identity Governance and Lifecycle, est conçue pour permettre aux organisations de toutes tailles de minimiser les risques liés à l identité et de fournir un accès sécurisé et pratique à leur personnel moderne. RSA SecurID Suite tire parti de l analytique des risques et de la reconnaissance du contexte, et est conçue pour garantir que les bonnes personnes disposent de l accès approprié, en tout lieu et depuis n importe quel appareil. Compte tenu des exigences du règlement GDPR en matière de gouvernance des données et de gestion des identités, ces produits peuvent jouer un rôle crucial pour aider les organisations à répondre au besoin fondamental de sécurisation des identités et des accès. 4 RSA ARCHER SUITE La solution de gestion de la gouvernance, du risque et de la conformité (GRC) leader sur le marché RSA Archer Suite comprend des exemples d utilisation spécifiques conçus pour aider les organisations à établir et à assurer la gouvernance des données de façon à rester en conformité avec le GDPR. RSA Archer Data Governance : la solution RSA Archer Data Governance est conçue pour fournir un cadre visant à aider les organisations à identifier, gérer et mettre en œuvre les contrôles appropriés concernant les activités de traitement des données personnelles. RSA Archer Data Governance permet aux organisations de conserver un inventaire précis des activités de traitement, d établir et d appliquer des contrôles documentés concernant l utilisation des informations d identification personnelle et de gérer les exigences en matière de rétention des données. RSA Archer Privacy Program Management : la solution RSA Archer Privacy Program Management est conçue pour permettre aux organisations de regrouper les activités de traitement afin d évaluer l impact de la protection des données et de suivre les communications concernant la réglementation et les violations des données avec les autorités de protection des données. Le responsable de la confidentialité, les responsables de la confidentialité des données (DPO) et les équipes responsables de la confidentialité peuvent également bénéficier d un référentiel central des informations requises pour prouver leur engagement en faveur de la conformité au GDPR au niveau du programme de confidentialité de l organisation. RSA Archer IT and Security Policy Program Management : la solution RSA Archer IT and Security Policy Program Management vise à fournir un cadre permettant d établir un environnement évolutif et flexible pour documenter et gérer les règles et procédures nécessaires au respect du GDPR par les organisations. Cela comprend la documentation des règles et des normes, l attribution de la propriété et le mappage des règles aux secteurs, aux objectifs et aux contrôles clés de l entreprise. En mettant en œuvre l exemple d utilisation de RSA Archer IT and Security Policy Program Management dans le cadre de son programme GDPR, une organisation est en mesure de gérer efficacement l ensemble du processus de cycle de vie de développement de la politique, afin d adapter son environnement de contrôle aux exigences de gouvernance des données et de confidentialité. RSA Archer IT Controls Assurance : la solution RSA Archer IT Controls Assurance est conçue de manière à fournir le cadre et la taxonomie pour documenter systématiquement les contrôles GDPR à appliquer, permettant ainsi aux organisations d évaluer et de générer des rapports sur l efficacité des contrôles. Avec RSA Archer, les organisations peuvent déployer des processus d évaluation normalisés des contrôles et intégrer les résultats des tests des systèmes automatisés. En resserrant les liens entre exigences de conformité et contrôles internes, les organisations sont mieux à même de communiquer et de générer des rapports sur leurs obligations en matière de conformité au GDPR, grâce à une taxonomie et un langage communs.

5 RSA RISK AND CYBERSECURITY PRACTICE RSA offre une gamme de services stratégiques conçue pour vous aider à élaborer une stratégie de sécurité orientée métier, à créer un centre d opérations de sécurité avancé et à dynamiser votre programme de gestion de la gouvernance, du risque et de la conformité (GRC). Pour compléter notre solide portefeuille de produits, nous proposons également des services de support à la mise en œuvre et après mise en œuvre afin d accroître la rentabilité de votre investissement. RSA Identity Assurance Practice : la solution RSA Identity Assurance Practice aide les organisations à gérer les interdictions du GDPR en matière d accès non autorisé aux informations d identification personnelle. Nos services sont conçus pour améliorer la capacité de votre organisation à unifier les «îlots d identité» qui sont apparus en son sein et qui créent à la fois de la complexité et des risques. RSA Risk Management Practice : la solution RSA Risk Management Practice offre des services de consulting stratégiques pour vous aider à optimiser le programme de gestion de la gouvernance, du risque et de la conformité de votre entreprise. Elle permet également un renforcement des effectifs et offre des services de support pour vous aider à planifier, mettre en œuvre, déployer et mettre à niveau les produits et services RSA, y compris la solution de gestion de la gouvernance, du risque et de la conformité RSA Archer. CONCLUSION Dans le monde entier, les organisations évaluent activement l impact du GDPR sur leur activité, sur la confidentialité des données et sur les opérations de gestion. Mai 2018 approche à grands pas, et les organisations qui travaillent au sein de l Union européenne doivent dès maintenant déployer des processus, politiques et technologies supplémentaires afin d éviter des amendes élevées en cas de non-respect de la réglementation. Assurer la gouvernance des données, grâce à des contrôles et des règles de gestion des accès et des identités appropriés, sera un élément stratégique en vue de garantir que les informations d identification personnelle sont correctement cataloguées et protégées. Avec une gamme unique de produits et services ciblant les aspects critiques de la gestion des identités et des accès et de la gestion de la gouvernance, du risque et de la conformité, RSA peut se positionner en partenaire stratégique lors de la transition de n importe quelle organisation vers le GDPR. Copyright 2017, Dell Inc. ou ses filiales. Tous droits réservés. Dell, EMC et les autres marques citées sont des marques commerciales de Dell Inc. ou de ses filiales. Toutes les autres marques citées dans le présent document peuvent être la propriété de leurs détenteurs respectifs. Publié en France. 17/08, Présentation de la solution, H Dell Inc. ou ses filiales estiment que les informations figurant dans ce document sont exactes à la date de publication. Ces informations sont modifiables sans préavis.