Répondre aux exigences de protection des données
du RGPD européen avec DataSecurity Plus

Les organisations collectent et traitent un grand volume de données personnelles/sensibles pour leur activité courante. Pour réduire le risque de violation de la sécurité des données, et offrir aux personnes concernées un meilleur contrôle sur leurs données personnelles, le Règlement général sur la protection des données (RGPD) oblige à :

  • Appliquer des normes strictes de confidentialité des données lors du stockage, du traitement et de l’utilisation.
  • Accéder aux demandes d’une personne concernée au sujet de l’utilisation de ses données personnelles.
  • Prendre des mesures techniques et organisationnelles fiables pour veiller à la sécurité des données personnelles sensibles traitées.

ManageEngine DataSecurity Plus répond à nombre de ces exigences en analysant la présence et l’emplacement des données sensibles, ainsi que les risques associés, et en évitant la fuite ou le vol de données stratégiques, pas uniquement de celles personnelles sensibles.

Accélérer la mise en conformité avec le RGPD grâce à DataSecurity Plus

Examinons certains des articles courants du RGPD et apprenons comment DataSecurity Plus permet d’en respecter facilement les exigences :

Teneur de l’article du RGPD Mesures à prendre Aide de DataSecurity Plus

Article 5(1)(c)

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire.

Supprimer les données redondantes, obsolètes et inutiles (fichiers superflus) des banques de données. Recherche et supprime les données indésirables comme les fichiers dupliqués, périmés ou orphelins et veille à ne stocker que les données pertinentes requises.

Article 5(1)(f)

Les données à caractère personnel doivent être protégées contre la perte, la destruction ou les dégâts d’origine accidentelle.

Établir les mesures techniques et organisationnelles adéquates pour assurer l’intégrité, la sécurité et la confidentialité des données personnelles et sensibles.
Maintien de l’intégrité des données
  1. Vérifie les opérations de fichier et de dossier comme la création, le changement de nom, la suppression ou la copie en temps réel.
  2. Déclenche des alertes par courrier instantanées aux administrateurs pour le contrôle des opérations de fichier suspectes (nombre excessif d’événements, par exemple).
  3. Suit les échecs d’accès à des données sensibles.
  4. Conserve un journal d’audit fiable de tous les accès à des fichiers pour faciliter l’examen forensique.
Maintien de la sécurité des données
  1. Détecte et confine instantanément les infections de rançongiciel potentielles pour éviter une grave perte de données.
  2. Détecte et empêche la fuite de fichiers sensibles via des périphériques USB ou une pièce jointe de courrier.

Article 15(1)

La personne concernée a le droit de demander la nature des données la concernant qui sont traitées.

Localiser et transmettre toute information sur la personne concernée que stocke l’organisation. Recherche les données à caractère personnel d’un utilisateur particulier à l’aide de RegEx ou d’un mot-clé unique (identifiant client, nom, etc.) dans des environnements de serveurs de fichiers Windows et de clusters de basculement.

Article 15(3)

Le responsable du traitement fournit une copie des données à caractère personnel faisant l'objet d'un traitement.

Transmettre à la personne concernée une copie électronique de toutes les données pertinentes que stocke l’organisation. Détermine l’emplacement où des données personnelles/sensibles sont stockées pour faciliter des processus ultérieurs.

Article 16

La personne concernée a le droit d'obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes.

Localiser et examiner toutes les instances de données inexactes sur la personne concernée. Analyse les données pour trouver toutes les instances de données personnelles/sensibles de la personne concernée avec une série de mots-clés uniques (par exemple, numéro national d'identification, détails de carte bancaire, numéro de permis, etc.).

Article 17(1)

Conformément aux dispositions légales, la personne concernée a le droit de demander au responsable du traitement d'effacer toutes les données à caractère personnel la concernant.

Localiser et supprimer toutes les instances de données personnelles/sensibles de la personne concernée. Trouve tous les fichiers contenant des instances de données de la personne concernée à l’aide de mots-clés.

Article 24(2)

Il faut mettre en œuvre des politiques appropriées en matière de protection des données pour protéger les droits des personnes concernées.

Déployer les mesures techniques et organisationnelles nécessaires pour assurer de hauts niveaux de confidentialité des données.
  1. Utilise des stratégies prédéfinies pour empêcher des transferts de données non approuvés vers des périphériques USB et contrôler l’intégrité des fichiers.
  2. Utilise des mécanismes de réaction automatique aux menaces pour arrêter des systèmes infectés ou fermer des sessions d’utilisateurs non autorisés.

Article 25(2)

Seules les données à caractère personnel nécessaires sont traitées et elles ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques.

Localiser et réduire les privilèges excessifs et les autorisations accordées aux utilisateurs.
  1. Rechercher les utilisateurs avec droits de contrôle total sur des partages Windows.
  2. Localiser tous les fichiers et les dossiers partagés avec tous.

Article 30(1)

Il faut tenir un registre de toutes les activités de traitement effectuées avec des détails sur les données sensibles traitées et les mesures techniques visant à protéger les données.

Déterminer la nature des données sensibles, les individus pouvant y accéder et établir un audit pour disposer d’un registre fiable des activités liées aux données. Conserver des informations précises sur les mesures prises pour veiller à la sécurité des données.
  1. Localise les instances de données personnelles/sensibles stockées sur des serveurs de fichiers Windows et des clusters de basculement avec une stratégie dédiée à l’exploration de données RGPD.
  2. Recherche les numéros nationaux d'identification, les détails de carte bancaire, les numéros de permis, etc.
  3. Détermine les individus ayant certaines autorisations sur les fichiers contenant des données personnelles/sensibles.
  4. Vérifie l’activité des utilisateurs liée aux fichiers avec des détails complets (auteur de l’accès, objet, moment et origine).

Article 32(2)

Il faut mettre en œuvre des mesures techniques et organisationnelles pour parer au risque, notamment de destruction accidentelle ou illicite, de perte, d’altération, de divulgation non autorisée ou d’accès à des données personnelles transmises ou stockées.

Déployer des mesures préventives et de détection pour protéger les données traitées contre un incident de sécurité.
Pour parer au risque éventuel de fuites de données
  1. Analyse l’utilisation de périphériques de stockage amovibles comme des clés USB dans l’organisation.
  2. Bloque le déplacement de fichiers contenant des données personnelles vers des périphériques USB ou en pièces jointes par courrier.
  3. Fournit des avertissements contextuels via des messages système sur le risque de déplacer des données sensibles vers des périphériques de stockage amovibles ou en pièces jointes par courrier.
  4. Réduit les délais de réponse aux incidents avec des alertes instantanées et un mécanisme de réaction automatique aux menaces.
Pour parer au risque d’accès non autorisé ou de divulgation
  1. Avertit et signale les accès non autorisés ou des pics soudains d’ouverture de fichiers et de modification, notamment d’autorisations, ou de suppression.
  2. Identifie les fichiers présentant des vulnérabilités de sécurité comme :
    • Fichiers appartenant à des utilisateurs périmés.
    • Fichiers sensibles autorisant un accès en contrôle total à des utilisateurs.
    • Fichiers surexposés ou accessible par tous.
  3. Suit les pics soudains des échecs d’accès aux fichiers/dossiers.
  4. Examine régulièrement les droits d’accès et les autorisations des fichiers.
Pour parer au risque de destruction accidentelle ou illicite
  1. Tient un registre complet de toutes les suppressions de fichier/dossier, avec des détails sur l’auteur, l’objet, le moment et l’endroit.
  2. Détecte et met en quarantaine les éventuelles infections de rançongiciel.

Article 33(3)

En cas de violation de données à caractère personnel, la notification doit inclure les mesures prises pour en atténuer les éventuelles conséquences négatives.

Analyser et examiner les causes et conséquences éventuelles d’une violation de données. Permet l’analyse de la cause première et de l’étendue de la violation grâce à des détails complets sur toutes les opérations de fichier ou de dossier dans des environnements de serveurs de fichiers Windows, de clusters de basculement et de groupes de travail. Fournit des détails sur l’auteur d’une action, l’objet, le moment et l’endroit.

Article 35(7)(d)

Une évaluation d’impact de protection des données doit comprendre les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel.

Identifier et évaluer les risques pour les données personnelles/sensibles. Évaluer le risque et prendre des mesures pour l’atténuer.
  1. Calcule l’indice de risque des fichiers contenant des données personnelles/sensibles en analysant leurs autorisations, le nombre et le type des règles violées ou les détails d’audit.
  2. Identifie les fichiers vulnérables du fait de problèmes de protection des autorisations.

Exclusion de responsabilité : le plein respect du RGPD exige une diversité de solutions, de procédures, de rôles et de technologies. Ce document fourni à titre informatif uniquement ne constitue pas des conseils juridiques pour le respect du RGPD. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux informations contenues dans le présent document.

Veillez à la sécurité des données et à la conformité   

DataSecurity Plus permet de remplir les exigences de nombreuses réglementations de conformité en protégeant les données en cours d’utilisation, en transit ou au repos.