Après l’introduction d’ensemble et l’exploration du premier et du deuxième principe de notre démarche RGPD, il est temps de nous pencher sur le troisième : la protection des données. Pour mémoire, voici les 5 leçons de Veeam sur les 5 principes clés de la démarche RGPD :
- Connaissez vos données
- Administrez vos données
- Protégez vos données
- Documentation et conformité
- Amélioration continue
Il existe de nombreux articles de sécurité de l’information à propos de la protection des données. Implémenter et assurer la protection des données dépend en grande partie des outils et de la technologie. Alors que les outils et la technologie sont essentiels pour protéger les données, ils ne sont pas suffisants. La protection des données est mentionnée dans l’article 25 : Protection des données dès la conception et protection des données par défaut, et il ne s’agit pas seulement de technologie.
Cela signifie que vous devez être capable d’assurer la disponibilité des données à tout instant ou de l’assurer à nouveau dans les plus brefs délais en cas d’incident. Sécuriser vos points d’entrée physiques et numériques est nécessaire, mais les obligations vont bien au-delà : restreindre les accès, auditer les accès et savoir qui fait quoi, superviser et mettre en œuvre la protection contre les logiciels malveillants. Enfin, assurer un solide plan de sauvegarde et de disponibilité comportant des validations et des tests réguliers s’avère essentiel. Nous estimons que dans tous les nouveaux projets, la sauvegarde et la restauration doivent être incontournables et intégrées au maillage même de l’entreprise.
Il est également important de réaliser que malgré nos meilleurs efforts, la protection des données n’est jamais infaillible. Des plans et des procédures doivent être mis en place en prévision de telles éventualités. La plupart des entreprises connaissent déjà le principe de la notification de violation. Si vous découvrez une violation, vous êtes dans l’obligation de notifier les autorités dès que possible. Concevez un plan qui spécifie les responsabilités de chaque équipe en cas d’incident.
Enfin et surtout, n’oubliez pas les évaluations d’impact de vos données. Que vous ayez besoin d’effectuer des opérations de maintenance ou des mises à niveau, celles-ci comportent toujours des risques. Mettez en place des procédures et testez les mises à jour avant de les déployer.
Conclusion
La protection des données dès la conception et la protection des données par défaut dépassent le cadre de la simple sécurité. Elles mettent en jeu une combinaison de techniques de sécurité telles que les pare-feu, les restrictions et la sécurisation renforcée du réseau, la protection contre les logiciels malveillants, la formation interne, le contrôle d’accès basé sur les rôles, les évaluations d’impact, la sauvegarde, la reprise après incident et bien plus encore. En plus de faire du tout un composant obligatoire des livrables de tout nouveau projet, nous vous invitons à revoir tous vos workloads existants et à y appliquer ces principes, aussi bien en interne que pour les services hébergés à l’extérieur.
