L’un des principes de base de la GDPR pour les organisations est de savoir où sont les données personnelles et où elles vont. Le Shadow IT ne permet généralement pas de respecter cette règle…
L’établissement du catalogue des données stockées dans le système d’information (SI) de l’entreprise présente rarement une difficulté. Et les organisations qui ont déployé une stratégie de sécurité de ces données affichent généralement un bon niveau de maturité. D’ailleurs, les violations de données portent peu sur ces données.
En revanche, les données qui ne sont pas dans le cœur du SI, mais qui pourtant relèvent également de la GDPR, n’entrent pas dans ce périmètre classique de protection, et elles appartiennent au Shadow IT. C’est souvent par ce biais que les pirates mafieux s’emparent des données privées (Personally Indentifiable Informations ou PII), qui sont stockées sur des serveurs dont la sécurité ne répond pas aux attentes de la DSI ou du RSSI, quand ils sont sécurisés...
C’est pourquoi la première étape d’une démarche de sécurité visant à respecter la GDPR va consister à identifier rapidement où sont stockées les données, et à comprendre les flux de données dans et hors de l’entreprise. Une démarche qui s’accompagnera d’outils d’automatisation de la capture de la donnée à la volée et de reconnaissance des emplacements où elle est stockée, car c’est une mission à laquelle il est quasi impossible de répondre autrement.
Cette première mission se prolongera dans le temps. Elle participe en effet à apporter les technologies et les compétences nécessaires pour réduire l’exposition de l’organisation. Les outils vont constituer la base de l’observation en continu des transferts de données qui sont demandés dans le cadre de la GDPR pour la gouvernance des structures et des systèmes.
C’est aussi la première pierre de l’adage anglo-saxon des 7P – Proper Planning and Preparation Prevent Poor Performances – pour anticiper des attaques éventuelles et adopter les réponses adaptées.
La régulation associée à la GDPR impose aux organisations de rapporter très rapidement les incidents de sécurité. Mais également de comprendre la nature et la taille de l’attaque afin de prévenir d’autres menaces de ce type, et d’apprécier la nécessité de communiquer sur l’incident. A ce jour, peu d’entreprises sont capables, à la suite d’une attaque, d’identifier rapidement ce qui a été perdu ou volé. Le risque est de sur ou sous évaluer l’incident, donc de ne pas notifier les parties victimes, et de s’exposer à des sanctions.
Avec les bons outils en place, l’organisation dispose également d’une ‘black box’ qui offre suffisamment d’informations forensic sur la qualité des données copiées pour reconstruire l’attaque et comprendre quelles données sont perdues et comment. A l’entreprise de disposer d’une stratégie de communication qui contrôle cette dernière, rassure les actionnaires, et minimise les dommages en matière de réputation.
Image d’entête 587187524 @ iStock Jossdim