PRÉSENTATION DE LA SOLUTION

AIDER À RÉPONDRE AUX VIOLATIONS DU GDPR

AVEC RSA SECURITYGESTION DES DÉLAIS EN MATIÈRE DE

CONFORMITÉ AU GDPR

SE PRÉPARER AU GDPR EST ESSENTIELLe GDPR de l’Union européenne impose aux organisations qui traitent des données personnelles de citoyens de l’UE des obligations liées entre elles, notamment :

• l’adoption de règles et procédures visant à assurer et à prouver que les informations d’identification personnelle sont gérées conformément à la réglementation ;

• la mise à jour de la documentation relative à toutes les opérations de traitement ;

• l’évaluation des risques de sécurité que représentent les données électroniques et physiques pour les données personnelles, y compris la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées de quelque manière que ce soit ;

• la mise en œuvre de contrôles techniques et organisationnels afin de garantir un niveau de sécurité approprié par rapport au risque ;

• la mise en œuvre de procédures visant à vérifier l’efficacité des contrôles alignés sur les résultats de l’évaluation des risques ;

• la mise en place d’évaluations de l’impact de la protection des données sur le traitement prévu des données personnelles confidentielles ;

• l’envoi de notifications claires aux résidents de l’Union européenne lors de la collecte des informations, et lors de toute demande ultérieure ;

• pour certaines organisations, la nomination d’un responsable de la protection des données chargé de surveiller la conformité de l’organisation aux exigences du GDPR de l’Union européenne.

PRÉSENTATION DE LA SOLUTION

2

Le Règlement général sur la protection des données (GDPR) de l’Union européenne, qui prendra effet en mai 2018, imposera des modifications aux entreprises qui traitent des informations d’identification personnelles de résidents européens. Ce règlement est destiné à renforcer la protection des informations d’identification personnelle au sein de l’Union européenne, et à tout endroit hors de l’Union européenne vers lequel elles sont transférées. Le GDPR concerne toutes les entreprises installées dans l’Union européenne, ainsi que toutes les entreprises qui contrôlent ou traitent des données personnelles relatives à des résidents de l’Union européenne. Ces exigences s’appliquent quel que soit le lieu d’implantation de l’organisation. À ce titre, le GDPR constitue une exigence de conformité véritablement globale.

Le non-respect des exigences du GDPR peut avoir un impact négatif considérable : l’incapacité à atteindre et à assurer la conformité peut entraîner des amendes représentant jusqu’à 4 % du chiffre d’affaires mondial annuel de l’organisation, ou 20 millions d’euros, le plus élevé de ces deux montants étant retenu. Sans une approche holistique de la conformité au GDPR, les organisations peuvent prématurément épuiser les ressources humaines et les ressources en capital disponibles, et prendre trop de temps à se préparer à la réglementation à venir.

La protection des données est un des éléments clés du GDPR. Après tout, quel est l’intérêt d’améliorer la confidentialité des données personnelles grâce au GDPR si vous ne pouvez pas sécuriser ces données et les protéger contre une utilisation abusive ou un vol ? Le GDPR énonce les exigences en matière de protection des données et introduit de nouvelles responsabilités auxquelles les organisations doivent satisfaire.

La réponse aux violations constitue une responsabilité clé dans le cadre du GDPR. L’article 33 du règlement présente les exigences spécifiques de notification d’une violation des données personnelles à l’autorité de supervision. Les notifications doivent être envoyées généralement dans les 72 heures suivant la détection de la violation par l’organisation. Cela ne laisse pas beaucoup de temps pour effectuer une analyse approfondie qui répondra à la question importante : quel en est l’impact ? La réponse à cette question permet de déterminer si vous devez informer toutes les personnes affectées. Cet objectif est réalisable à condition de disposer de processus et de capacités techniques spécifiques, notamment en matière de gestion des incidents de sécurité, d’opérations de sécurité et de gestion des violations, ainsi que d’outils de surveillance approfondie et d’analyse des données de sécurité, notamment des outils de détection sophistiqués.

RSA : PRISE EN CHARGE D’UNE APPROCHE GLOBALE POUR GÉRER LES VIOLATIONS DES DONNÉESRSA propose des solutions de sécurité orientées métier qui lient de façon unique le contexte commercial aux incidents de sécurité pour aider les entreprises à gérer les risques et à protéger les données les plus importantes. Les solutions RSA sont conçues pour aider les organisations à détecter les attaques avancées et à y répondre efficacement, à gérer les identités des utilisateurs et les accès et enfin, à réduire les risques métiers, ces étapes étant essentielles pour que les organisations développent une stratégie globale en réponse au GDPR.

En tenant compte des exigences du GDPR, examinons de plus près le portefeuille de produits et services RSA et voyons comment ces offres donnent aux organisations les moyens de se préparer au GDPR.

PRÉSENTATION DE LA SOLUTION

3

RSA NETWITNESS SUITERSA NetWitness® Suite est une plate-forme de détection et de traitement des menaces conçue pour permettre aux équipes de sécurité de détecter rapidement un incident et d’en comprendre l’étendue. La solution RSA NetWitness Suite se différencie des solutions concurrentes par deux caractéristiques importantes :

• Visibilité : en s’appuyant sur des logs, des paquets et des points de terminaison, RSA NetWitness Suite vous permet de visualiser l’ensemble des données de votre organisation, y compris les environnements virtuels et Cloud. Cette large visibilité est ce qui permet aux clients RSA NetWitness de corréler des alertes et événements sans lien apparent, afin de se concentrer sur les menaces les plus importantes.

• Productivité : RSA NetWitness Suite offre une aide visuelle face aux menaces, au travers d’une expérience utilisateur totalement nouvelle pour les analystes de sécurité. Les renseignements et l’analytique avancés sur les menaces sont conçus de manière à permettre la détection des menaces et la création d’une file d’attente hiérarchisée pour la procédure d’enquête, tandis que les fonctions de visualisation font clairement ressortir toute activité anormale parmi les nombreuses données légitimes. Les outils pivots permettent aux analystes d’effectuer rapidement une recherche verticale sur des données spécifiques afin d’isoler et d’éliminer les attaques.

Pour le GDPR, RSA NetWitness Suite propose des fonctions ciblées qui aideront les organisations à détecter et à signaler les incidents de sécurité. Ses fonctions d’analytique riches permettent également de faciliter la mise en conformité en documentant les efforts et en créant des rapports qui indiquent précisément ce qui a eu lieu. Dans les 72 heures qui précèdent le signalement d’une violation, RSA NetWitness Suite peut documenter les événements qui se sont produits, qui a été affecté, ainsi que l’impact. Le GDPR indique clairement que les organisations doivent mettre en œuvre des contrôles de sécurité appropriés. Celles qui ne le feront pas pourront se le voir reprocher en cas de violation.

RSA NetWitness Suite aide également les organisations à satisfaire aux exigences du GDPR en matière de protection des données utilisateur au travers de la détection des menaces et de l’activité de réponse. La plate-forme est conçue pour fournir un éventail de contrôles, par exemple l’obscurcissement, sur lesquels les analystes de sécurité peuvent s’appuyer pour protéger les données confidentielles, sans réduire la capacité analytique.

La solution RSA NetWitness Suite est conçue pour être configurée de façon à limiter l’exposition des métadonnées confidentielles et du contenu brut (paquets et logs) à l’aide d’un ensemble de techniques, notamment :

• Obscurcissement des données : les clés méta confidentielles peuvent être masquées pour certains analystes/rôles.

• Mise en œuvre d’un système de rétention des données : conserve les données sensibles uniquement le temps nécessaire.

• Consignation des audits : piste d’audit pour les activités confidentielles, par exemple, tentatives d’affichage/de modification des données.

PRÉSENTATION DE LA SOLUTION

4

RSA ARCHER SUITELa solution de gestion de la gouvernance, du risque et de la conformité (GRC) leader sur le marché RSA Archer Suite permet aux organisations de gérer plusieurs niveaux de risque à l’aide de solutions conformes aux normes de l’industrie et aux bonnes pratiques, sur une seule plate-forme logicielle configurable et intégrée. RSA Archer Suite inclut des cas d’utilisation spécifiques conçus pour aider les organisations qui cherchent à améliorer les fonctions liées à la réponse à apporter aux problèmes de sécurité.

• La solution RSA Archer Data Governance est conçue pour fournir un cadre visant à aider les organisations à identifier, gérer et mettre en œuvre les contrôles appropriés concernant les activités de traitement des données personnelles.

• La solution RSA Archer Privacy Program Management est conçue pour permettre aux organisations de regrouper les activités de traitement afin d’évaluer l’impact de la protection des données et de suivre les communications concernant la réglementation et les violations des données avec les autorités de protection des données.

SECURITY INCIDENT MANAGEMENTLa solution RSA Archer Security Incident Management permet de réagir au déluge d’alertes de sécurité et d’implémenter un processus géré afin de signaler, d’analyser et de résoudre les incidents de sécurité. L’exemple d’utilisation inclut un système centralisé qui permet de cataloguer les ressources IT pour la hiérarchisation des incidents. Ce système fournit ainsi le contexte métier (utilisation des ressources IT) nécessaire pour hiérarchiser les événements. Un workflow d’incidents de sécurité avec reporting intégré des incidents de sécurité rationalise le processus et permet aux équipes de travailler efficacement grâce au processus de réponse aux incidents. Les problèmes liés aux enquêtes sur les incidents peuvent être suivis et les procédures définies pour gérer les événements de sécurité garantissent une bonne gestion des incidents.

SECURITY OPERATIONS AND BREACH MANAGEMENTRSA Archer Security Operations and Breach Management étend le processus de gestion des incidents de sécurité avec la surveillance des indicateurs clés de performances, la mesure de l’efficacité des contrôles et la gestion de l’équipe chargée des opérations de sécurité dans son ensemble. Un workflow est inclus afin de gérer les violations de données et de permettre aux équipes de sécurité et métiers de réagir rapidement en cas de violation des informations personnelles. En permettant de se concentrer sur les incidents à l’impact le plus élevé, cette solution aide à réduire le risque de sécurité global et à réagir rapidement et de manière appropriée aux violations de données.

RSA RISK AND CYBER SECURITY PRACTICERSA offre une gamme de services stratégiques conçue pour vous aider à élaborer une stratégie de sécurité orientée métier, à créer un centre d’opérations de sécurité avancé et à dynamiser votre programme de gestion de la gouvernance, du risque et de la conformité (GRC). Pour compléter notre solide portefeuille de produits, nous proposons également des services de support à la mise en œuvre et après mise en œuvre afin d’accroître la rentabilité de votre investissement.

RSA INCIDENT RESPONSE PRACTICEBien entendu, un impératif majeur du GDPR est la gestion efficace des incidents lorsqu’ils se produisent. Lorsqu’une organisation identifie une faille de sécurité, elle doit déterminer en peu de temps ce qui est arrivé, comment cela s’est produit, la portée et l’impact de l’attaque et les étapes à suivre pour la contenir et y remédier. L’équipe RSA de réponse aux incidents aide les organisations à comprendre rapidement les détails et les mesures à prendre en cas de violation. Utilisée conjointement avec d’autres solutions RSA Archer, la solution Incident Response Practice peut adapter ces étapes afin que les organisations puissent répondre aux exigences uniques du GDPR.

RSA ADVANCED CYBER DEFENSE PRACTICELa solution RSA Advanced Cyber Defense Practice donne aux départements de sécurité les moyens de développer les processus, procédures, workflows et automatisations qui permettent de mettre en place une réponse rapide et décisive aux violations de données et autres cyberincidents.

CONCLUSIONDans le monde entier, les organisations évaluent activement l’impact du GDPR sur leur activité, sur la confidentialité des données et sur les opérations de gestion. Mai 2018 approche à grands pas, et les organisations qui recueillent des informations d’identification personnelle liées à des résidents de l’Union européenne doivent déployer des processus, politiques et technologies supplémentaires afin d’éviter des amendes élevées en cas de non-respect de la réglementation. Une violation des données personnelles peut avoir de graves conséquences, et les organisations doivent mettre en œuvre une stratégie visant à protéger les informations d’identification personnelle des citoyens de l’Union européenne et incluant notamment la capacité à identifier et à répondre aux menaces de sécurité. Avec une gamme unique de produits et services ciblant les aspects critiques de la détection des menaces et de la réponse aux incidents de sécurité, RSA peut se positionner en partenaire stratégique lors de la transition de n’importe quelle organisation vers le GDPR.

RSA et le logo RSA sont des marques déposées ou des marques commerciales de Dell Technologies aux États-Unis et dans d’autres pays. © Copyright 2017 Dell Technologies. Tous droits réservés. Publié en France. 17/08 Présentation de la solution H16549

RSA estime que les informations figurant dans ce document sont exactes à la date de publication. Ces informations sont modifiables sans préavis.

PRÉSENTATION DE LA SOLUTION

5