<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1678611822423757&amp;ev=PageView&amp;noscript=1">
Defrag This

| Read. Reflect. Reboot.

Le RGPD arrive, êtes-vous prêts ? (partie 1)

Stéphanie Chaptal-Dugué| March 02 2017

| security

le-rgpd.jpgLe 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) entrera en application. Il concernera toutes les entreprises, européennes ou non, qui traitent des données personnelles des citoyens européens. Le RGPD remplace la directive sur la protection des données en place depuis 20 ans, renforce de nombreuses clauses déjà présentes dans ladite directive, et définit des normes plus sévères pour la protection des informations personnelles des résidents de l’Union européenne. Chaque État membre pourra d’ailleurs aller plus loin en matière de protection. Dans ce domaine en France, la CNIL (Commission Nationale Informatique et Liberté) consulte les internautes régulièrement pour préciser les orientations à donner lors de la prochaine refonte de la loi Informatiques et Libertés.

En attendant, mai 2018 est pour très bientôt. L’un des domaines où il est d’ores et déjà possible de se préparer au RGPD est le transfert de données personnelles. D’autre part, dans le monde financier, la récente loi sur la mobilité bancaire et la future DSP2 (Directive sur les services de paiement) vont offrir plus de souplesse dans l’utilisation des données des clients. Prises entre ces différentes réglementations, les banques doivent assurer des transferts sécurisés en interne et avec leurs clients et partenaires pour éviter les vols et fuites de données. Voici sept étapes à valider dans ce domaine pour être prêt pour le 25 mai 2018.

1 — Automatiser le plus possible

Les workflows de transfert de fichiers couramment utilisés doivent être automatisés pour minimiser les erreurs humaines. Vos outils de transfert de fichiers doivent prendre en charge des fonctions comme le renvoi automatique, la correction d’erreurs et la confirmation de réception de tous les transferts de données.


2 — Contrôler les flux de données


Le contrôle et la visibilité des flux de données sont déterminants pour une gestion efficace de la sécurité, et essentiels pour valider la conformité. Vos outils doivent faciliter la visibilité et le contrôle à un niveau central, ainsi que l’autorisation préalable de tous les transferts de fichiers. Les journaux doivent être conservés dans une base de données verrouillée afin d’assurer l’intégrité des chemins d’audit.


3 –Protéger les informations


Vos technologies, outils ou processus doivent assurer des contrôles d’intégrité des fichiers, la suppression des données après réception, ainsi que la non-répudiation (l’expéditeur et le destinataire doivent tous deux être autorisés et authentifiés pour accéder aux données). L’existence d’un chemin d’audit verrouillé permettant d’établir un suivi de l’intégrité, de la diffusion, de l’authentification, de la non-répudiation et de la suppression des fichiers transmis en externe après leur transfert représente un aspect important de la conformité.


4— Authentifier les interlocuteurs


L’authentification des utilisateurs et des administrateurs constitue un aspect essentiel de la sécurité et de la conformité. Vos systèmes doivent être capables de prendre en charge un ensemble de mécanismes de contrôle d’accès, notamment l’intégration aux annuaires centraux des utilisateurs, le contrôle d’accès basé sur des règles et l’authentification unique comme l’authentification à plusieurs facteurs.


5— Chiffrer le tout


Les algorithmes de chiffrement ont une durée de vie limitée. Il est essentiel que vos systèmes de partage de données utilisent de puissants mécanismes cryptographiques à la pointe de la technologie afin de permettre la sélection, la distribution et la protection sécurisées des clés de chiffrement. Pour anticiper le futur renforcement de la législation sur la protection des données, vos systèmes doivent garantir la protection et l’intégrité permanentes des données, qu’elles soient en transit ou à l’état de stockage.


6— Avoir une architecture sécurisée


L’architecture de vos systèmes doit s’intégrer avec les infrastructures et applications de sécurité existantes. Les systèmes doivent également garantir qu’aucune donnée non chiffrée ne se trouve sur le serveur DMZ, ou résilier les demandes entrantes d’authentification et de transfert de données avec un serveur passerelle proxy au niveau du DMZ.


7 — Assurer la continuité


La continuité de l’activité en mode sécurisé est l’une des principales obligations de nombreuses réglementations sur la protection des données. Cette exigence vise à protéger la confidentialité, l’intégrité et la disponibilité des transferts de fichiers à tout moment en cas d’erreur, d’accident ou de panne. Une solution redondante automatique et sécurisée est essentielle pour garantir que les transferts de fichiers ont abouti ou sont relancés jusqu’à ce qu’ils soient terminés.

Guide sur la sécurité et conformité

Topics: security

Default HTML block

Leave a Reply

Your email address will not be published. Required fields are marked *

THIS POST WAS WRITTEN BY Stéphanie Chaptal-Dugué

Free Trials

Getting started has never been easier. Download a trial today.

Download Free Trials

Contact Us

Let us know how we can help you. Focus on what matters. 

Send us a note

Subscribe to our Blog

Let’s stay in touch! Register to receive our blog updates.