Chacun connaît les finalités de la réglementation GDPR mais qu’implique-t-elle pour vous, dans la pratique? Ou, plus exactement, quelles sont les technologies que vous pouvez utiliser afin de protéger efficacement les informations à caractère personnel?

TOUT DANS UN SEUL LOGICIEL

Vous ne pouvez protéger efficacement les informations à caractère personnel ou d’autres informations sensibles qu’en recourant à des technologies adéquates. De très nombreux outils existent, notamment pour la classification d’informations sensibles, pour protéger les accès à ces informations et pour gérer les équipements mobiles. Vous pouvez bien évidemment rechercher la solution optimale pour chacune de ces fonctions. Toutefois, Microsoft dispose d’un énorme atout sous la forme de Microsoft Secure Productive Enterprise qui inclut par ailleurs Windows Intune. Cette solution intègre parfaitement toutes sortes de fonctions de gestion et de sécurisation non seulement entre elles mais également avec vos applications Office. L’intégration est un grand avantage qui vous fait défaut lorsque vous utilisez des outils venant de divers fournisseurs. Autre aspect des choses, Microsoft propose très rapidement des mises à jour de telle sorte que la solution technologique proposée continue sans cesse de s’améliorer - dans tous les registres. A nos yeux, l’avantage que procure une offre intégrée est en soi suffisant pour opter pour cette approche - c’est aussi une manière de se préparer plus rapidement à la réglementation GDPR.

UNE PROTECTION A TOUS LES NIVEAUX

Microsoft Secure Productive Enterprise allie les fonctionnalités d’Office 365, d’Enterprise Mobility + Security et de Windows 10 Enterprise. Cela fait de Microsoft le seul fournisseur à proposer une gestion intégrée pour chaque niveau: système, application, données et utilisateur. La solution intégrée inclut par exemple un “sniffing tool” qui détecte non seulement les attaques de hackers mais qui sert également d’instrument de “behavioral analytics”. S’y ajoute encore une application destinée à protéger les applications cloud - et pas uniquement celles de Microsoft mais aussi Dropbox, parmi d’autres. Intune se charge de classer les informations pour les considérer par exemple comme sensibles. Cela a pour effet de restreindre l’accès à ces données aux seules personnes disposant des droits d’accès pertinents et de déclencher un processus automatique de chiffrement dès l’instant où ces informations sont déplacées.

RENFORCER LE ROLE DE L’UTILISATEUR FINAL

Au sein de votre organisation, les responsables informatiques déterminent-ils le type de sécurité que requièrent vos données? Si tel est le cas, vous devez vous rendre compte qu’ils ne sont pas nécessairement les meilleures personnes pour le faire. C’est en effet souvent l’utilisateur final qui crée les informations et/ou qui les exploite. Il est dès lors recommandé de confier cette tâche à l’utilisateur final, éventuellement en prévoyant des règles claires et des paramétrages automatiques pour certains fichiers.

LE CLOUD EN TOUTE SECURITE

Vous craignez malgré tout de perdre le contrôle si vous optez pour le cloud? Cette crainte ne se justifie pas. Dans ce domaine aussi, Microsoft dispose d’un outil bien utile. En l’occurrence, Cloud App Security, que vous pouvez utiliser en solo ou comme composante de Microsoft Secure Productive Enterprise. Cette solution cloud vous permet de détecter un phénomène de “shadow IT”. Elle vous procure un tableau de bord qui vous indique avec précision quelles sont les applications cloud auxquelles vos utilisateurs ont recours et quel volume de trafic ils génèrent. Vous pouvez bloquer des applications non sécurisées via le tableau de bord. Mieux vaut, bien entendu, en parler avec les utilisateurs. Il se peut en effet qu’ils aient de bonnes raisons de choisir telle ou telle application. Vous pourrez alors éventuellement leur proposer une solution de rechange.

DETECTER DES ACTIONS MALVEILLANTES AU NIVEAU DU DOCUMENT

Vous pouvez déterminer quelles informations de gestion, contenues dans des fichiers gérés par SharePoint ou OneDrive, sont partagées, envoyées ou téléchargées. Cela vous permet de détecter rapidement des actions malveillantes - en ce compris celles de hackers. Il vous est possible de paramétrer des “alertes” pour certains traitements qui ne sont pas autorisés ou qui sont potentiellement suspects. De tels paramétrages ne sont d’ailleurs pas du tout compliqués à mettre en oeuvre, d’un point de vue technique. Il est même possible d’envoyer (automatiquement) l’alerte de sécurité vers le responsable hiérarchique de l’utilisateur final ou vers l’utilisateur final lui-même. Ce faisant, vous déplacez la responsabilité du département IT vers les responsables métier. Il se peut également qu’il s’agisse d’une fausse alerte ou que l’utilisateur final ne soit pas conscient que son utilisation de l’informatique comporte des risques. C’est pour cette raison qu’il est particulièrement utile de toujours communiquer avec les utilisateurs finaux.

IDENTIFIER DES INFORMATIONS SENSIBLES

Mais comment procéder pour identifier des informations sensibles? Lors de la rédaction d’un courriel, Outlook vous permet de déterminer vous-même s’il comporte des informations internes ou personnelles - c’est là une fonction dont de nombreux utilisateurs n’ont pas encore conscience. Vous pouvez également paramétrer le logiciel de telle sorte que l’utilisateur reçoive automatiquement un message lorsqu’il ou elle classifie un courriel comme message interne mais introduit, dans le champ À, une adresse mail d’un destinataire se situant en dehors de l’entreprise ou de l’organisation.

Azure Information Protection est un outil particulièrement pratique pour tout ce qui est classification, étiquetage et protection de documents et de courriels. Il est possible de le faire en édictant automatiquement des règles et des conditions au départ du système de gestion, en les faisant définir manuellement par les utilisateurs eux-mêmes, ou en combinant ces deux méthodes. Vous pourrez ainsi automatiquement détecter des documents qui contiennent des informations personnelles - comme par exemple une date de naissance ou une adresse. Il s’agit là d’un type de données que la GDPR vous impose de protéger. Si quelqu’un essaie de transférer par mail ce type de document ou de l’enregistrer sur OneDrive ou sur une clé USB, l’utilisateur recevra un message lui signalant que l’opération est interdite pour de telles informations personnelles. Si l’utilisateur dispose des droits lui permettant de le faire, les données seront chiffrées et ne seront dès lors lisibles que par des personnes disposant des bons droits d’accès. Une fois encore, il est très important de conscientiser les utilisateurs finaux aux raisons pour lesquelles ils doivent adopter certaines règles lorsqu’ils traitent l’information.

SÉCURISER L’INFORMATION LORS DE DÉPLACEMENTS

Prenons un scénario-type: l’un de vos collaborateurs désire utiliser des informations de l’entreprise à partir d’un ordinateur public situé dans un aéroport. Dans ce genre de situation, vous pouvez l’autoriser à consulter ses courriels mais en procédant au préalable à une vérification d’identité supplémentaire. Par exemple en envoyant un code de vérification vers son GSM. Des informations contenant des informations sensibles sur les clients peuvent, elles, être bloquées afin d’éviter une utilisation sur des ordinateurs se situant en dehors de l’entreprise.

Comme vous pouvez le constater, il existe des solutions pour toutes les situations mais pour vous conformer à la réglementation GDPR, il vous faudra appliquer une hiérarchisation dans les mesures de protection à appliquer à vos informations sensibles. Si vous le désirez, vous pouvez éventuellement procéder de manière progressive. Nous nous ferons un plaisir de vous conseiller.

 Moins d' 1 an avant l'avènement de la GDPR, comment s'y préparer? Lisez notre autre article!