Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’observabilité, indispensable à la sécurité des réseaux des organisations, contreviendrait-elle au RGPD ?

mars 2022 par Yann Samama, ingénieur avant-ventes sénior chez Gigamon

L’explosion sans précédent des usages d’internet est un catalyseur puissant de transformation pour les entreprises. Ainsi, bon nombre d’entre elles – ayant migré dans les environnements cloud – font dorénavant face à de nouveaux aléas liés à la sécurité. Les données, considérées comme l’or noir des réseaux, sont collectées, filtrées et enrichies ; appréhender et comprendre son réseau est devenu un impératif que les organisations ne peuvent plus ignorer. De ce fait, les outils d’observabilité des réseaux sont la clé pour anticiper les menaces et sécuriser la richesse informationnelle des entreprises ; notamment grâce au déchiffrement du trafic SSL/TLS, y compris les flux TLS 1.3.

Dans un tel contexte, les organisations peuvent-elles vraiment respecter les réglementations relatives à la protection des données personnelles ?
Seule l’observabilité en profondeur permet de détecter les signaux faibles révélateurs d’une cyber-attaque

La transformation numérique apporte son lot de questionnements : peut-on garantir les niveaux de sécurité requis pour tous les utilisateurs ? Peut-on migrer vers le cloud tout en s’assurant de la conformité aux règlements en vigueur et de la continuité du niveau de sécurité requis ? Comment identifier et résoudre les anomalies du réseau ? Ces questions ne peuvent pas être laissées sans réponse, sinon les entreprises pourraient faire face à des ralentissements lors de la migration cloud ou lors de l’intégration des appareils IoT, et surtout s’exposer à des attaques aux conséquences graves.

L’observabilité est essentielle ; sans une visibilité directe de tous les appareils, il est impossible de surveiller ou protéger ce que vous ne pouvez pas voir et en particulier les ransomware. Les cybercriminels peuvent facilement pénétrer dans un réseau pour recueillir des renseignements sur une période plus ou moins longue sans être repérés, en profitant des angles morts de votre politique de sécurité, avant d’y déployer leur logiciel malveillant. Ces derniers mois, ils ont détourné à leur profit le chiffrement SSL/TLS, qui garantit normalement l’authentification et la confidentialité des échanges, en insérant leurs logiciels dans le trafic chiffré pour dissimuler leurs activités malveillantes. De fait et au regard de la quantité astronomique de données chiffrées circulant sur les réseaux, les entreprises ont un besoin impérieux de déchiffrer efficacement le trafic SSL/TLS, afin de permettre aux outils de sécurité de l’inspecter pour y détecter d’éventuelles menaces, avant qu’elles n’atteignent l’utilisateur.

Le RGPD est respecté grâce au masquage des données intégré aux dispositifs de sécurité

En France, comme en Europe, les organisations doivent se conformer au règlement général sur la protection des données (RGPD), qui stipule que certaines données doivent être traitées pour maintenir la confidentialité sous peine de sanctions sévères. La conformité à ces règles est essentielle pour le secteur public comme privé. Dans ce contexte, c’est la technique de masquage des données sensibles qui garantit l’exigence de conformité. Les outils de visibilité vont récupérer et brouiller à la volée les données sensibles afin qu’elles ne puissent jamais être stockées ni exploitées par les outils de surveillance.

Le masquage des données est une partie essentielle des solutions d’observabilité du réseau. Il doit être mis en œuvre pour que les organisations puissent se conformer au RGPD et aux réglementations sur la confidentialité des données, tout en se protégeant simultanément de la cybercriminalité.
La confidentialité et la sécurité des données ne doivent pas être en porte-à-faux l’une de l’autre. Au contraire, elles doivent œuvrer ensemble pour garantir que les données soient conformes aux réglementations tout en permettant aux initiatives de transformation numérique d’aboutir dans les meilleures conditions.


Voir les articles précédents

    

Voir les articles suivants