Bien que la plupart des exigences du GDPR soient centrées sur la façon de recueillir des données personnelles, les droits des individus et la transférabilité des données, certaines obligations requièrent l'attention des professionnels de la sécurité.
Par exemple, l'article 32 du RGPD (sécurité du traitement) décrit les mesures techniques que chaque administrateur de la sécurité et analyste de la conformité devrait adopter pour devenir ou rester conforme. Cela comprend la mise en œuvre de politiques de sécurité pour :
- Chiffrer toutes les données personnelles stockées
- Garantir la confidentialité et l'intégrité des données personnelles au repos, en cours d'utilisation et en transit
- Restaurer les données personnelles en cas de perte de données
- Assurer un accès continu aux données personnelles en restaurant tous les systèmes et services concernés qui stockent et traitent les données personnelles.
Avant tout, les administrateurs de sécurité devraient adopter un système d'audit qui assure à la fois que chaque action effectuée sur leur réseau est conforme aux exigences du GDPR et assure la sécurité des données personnelles à tout moment.
Alors, où et comment commencer à travailler à la mise en conformité avec le GDPR ?
- 1. Identifier et isoler les données personnelles.
- 2. Tirez parti de vos options et politiques de sécurité existantes.
Étape 1 : Identifier et isoler les données personnelles
Avant de mettre en œuvre des mesures techniques, vous devez identifier l'endroit où les données personnelles sont stockées sur l'ensemble de votre réseau. Les systèmes modernes de découverte et de classification des données qui font partie des applications de prévention des pertes de données (DLP) peuvent vous aider à localiser les données personnelles et à les protéger grâce à des contrôles de sécurité appropriés.
Une fois que vous avez trouvé où les données personnelles sont stockées, vous devez les isoler. Vous pouvez utiliser une table de base de données, un serveur de fichiers ou même simplement un fichier ou un dossier pour vous assurer que seul un groupe d'utilisateurs sélectionnés peut visualiser, accéder ou traiter ces données. L'isolement des données personnelles facilite également l'audit.
Étape 2 : Tirer parti des options de sécurité existantes pour protéger les données personnelles
Pour ceux qui utilisent Windows, les données personnelles résident dans les serveurs Windows et les serveurs de fichiers. Dans ces environnements, permettre des audits réguliers et mettre en place des contrôles de sécurité appropriés est le meilleur moyen de commencer.
- 1. Configurez des listes de contrôle d'accès (ACL) pour les fichiers et dossiers contenant des données personnelles. Ainsi, seuls les employés autorisés ont accès aux données personnelles. Vous pouvez activer l'audit pour les ACL et suivre de près les accès en échec afin de détecter et de bloquer préventivement d'éventuelles violations de données.
- 2. Avec les groupes de sécurité, vous pouvez mettre tous les utilisateurs privilégiés qui ont le droit de traiter des données personnelles dans un groupe. Accordez à ce groupe l'accès aux systèmes et applications dans lesquels les données personnelles sont stockées et traitées afin que seuls les membres de ce groupe aient accès aux données personnelles. Vérifier continuellement les changements dans ces groupes de sécurité pour s'assurer que ces données demeurent protégées.