Le secteur IT adore les sujets d’actualité. Le cloud, les infrastructures hyperconvergées et l’apprentissage machine ont de quoi faire parler, mais les ransomware et le Règlement général sur la protection des données (RGPD) de l’Union européenne sont les deux grands sujets du moment dans le monde de l’IT.
Aussi important que soit chacun d’eux, que se passe-t-il lorsque leurs concepts se rencontrent ? On m’a récemment posé la question « quelles sont les conséquences des ransomware dans le cadre du RGPD ? » et cela a créé une collision de sujets, ce qui arrive rarement en informatique.
Y a-t-il des conséquences ?
Sans grande hésitation, la réponse est oui. Le RGPD existe pour protéger nos informations personnelles. Par conséquent, si nous détenons des informations concernant un citoyen de l’UE, notre priorité doit être de nous assurer de prendre soin de ces données et de veiller à ce qu’elles soient sécurisées, protégées et accessibles.
Parmi les obligations que nous impose le RGPD, il est capital d’éviter les violations de données. Qu’entendons-nous par « violation » ? Ce terme est décrit comme suit dans les articles du RGPD :
« Violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Au vu de cette définition, il apparaît clairement que les ransomware peuvent aboutir à une violation potentielle au sens du RGPD. Par nature, les ransomware sont des logiciels malveillants qui peuvent limiter ou interdire l’accès des victimes à leurs données critiques ou même à l’ensemble de leurs systèmes.
Jusqu’à présent, la réponse à une attaque par ransomware était relativement simple : soit vous aviez assuré la disponibilité de vos données et vous pouviez restaurer rapidement les informations compromises, soit vous risquiez de les perdre. Si vous ne disposez pas d’une solution fiable de restauration de données, vos options de reprise d’activité sans préjudice sont limitées. Gardez à l’esprit que les paiements de rançons sont fortement déconseillés par tous les experts en technologie et en cybersécurité, ainsi que par les autorités gouvernementales.
Le RGPD soulève de nouveaux défis ainsi que de nouvelles opportunités pour les cybercriminels. Au lieu de s’embarrasser des aspects techniques et rébarbatifs des ransomware, votre cybercriminel local possède désormais une nouvelle corde de menace à son arc. Il peut signaler une violation de vos données par ransomware aux autorités compétentes et faire courir à votre entreprise le risque de lourdes amendes ou d’autres sanctions.
Que devons-nous faire ?
Qu’exige le RGPD de la part des entreprises ? Si nous examinons l’article 32, nous y trouvons les lignes directrices de nos principales responsabilités en tant que propriétaires de données :
- la capacité d’assurer la confidentialité, l’intégrité, la disponibilité et la résilience permanentes des systèmes et services de traitement ;
- la capacité de restaurer la disponibilité et l’accès aux données personnelles en temps opportun en cas d’incident physique ou technique ;
- un processus de test et d’évaluation régulière de l’efficacité des mesures techniques et organisationnelles destinées à assurer la sécurité du traitement.
Bien que le RGPD ne soit pas une réglementation technique ni un problème informatique à résoudre, les services informatiques doivent s’impliquer davantage pour garantir l’existence de stratégies de sécurité des données, l’actualisation des solutions et informer les parties prenantes de leurs responsabilités. L’engagement de l’IT est essentiel à plusieurs égards :
- assurer l’intégrité des données,
- assurer la disponibilité des données,
- fournir une plateforme de tests efficaces et flexibles.
À quoi ressemblerait donc une technologie appropriée ?
En réalité, aucune technologie ne fournira à elle seule tout ce dont vous avez besoin. Mais il est bon de connaître les types de technologies qui pourront vous aider.
Dans l’idéal, une solution intégrée comprendrait une couche capable de détecter l’activité des ransomware, de l’endiguer rapidement et d’identifier les jeux de données affectés. L’informatique permettrait de présenter les informations relatives aux jeux de données compromis à la solution de restauration afin d’automatiser le processus. Elle comprendrait aussi une solution de restauration capable de récupérer rapidement les données et de maintenir la disponibilité. Elle nous permettrait également de créer des environnements de test pour nous entraîner à réagir aux incidents destructeurs tels que les attaques par ransomware.
Comment Veeam peut-il aider ?
Bien que Veeam ne soit en aucun cas un outil de conformité au RGPD ni même une solution d’identification de ransomware, Veeam Availability Suite peut jouer un rôle important pour garantir que votre programme de conformité traite non seulement des problèmes tels que les ransomware de manière efficace, mais relève aussi une gamme plus large de défis relatifs à la conformité.
Quoi qu’il en soit, la possibilité d’interagir avec des outils tiers pour une identification et une reprise rapides à la suite d’une violation potentielle apporte des avantages considérables. L’approche globale de Veeam est essentielle à une stratégie de conformité métier moderne car elle vise à assurer la disponibilité à travers plusieurs référentiels, sur site et dans le cloud, afin de maintenir la conformité et la disponibilité des données dans l’ensemble de l’infrastructure indépendamment de leur emplacement.
Synthèse
Notre question de départ était « quelles sont les conséquences des ransomware dans le cadre du RGPD ? » Nous y avons répondu en discutant la manière dont l’incidence et les risques des ransomware doivent être évalués et limités, comme pour tout autre risque de conformité potentiel.
J’espère que vous y avez trouvé des informations et des idées utiles pour répondre aux besoins de votre stratégie de conformité.
