«Com­men­cer­par­ré­per­to­rier le­sap­pli­ca­tif­set­don­née­sas­so­ciées»

Pas­cal Le Di­gol, Coun­try Ma­na­ger France de Watch­guard

L'Informaticien - - INFRA -

Qu’est-ce qu’une don­née sen­sible ? Le RGPD traite des don­nées per­son­nelles au sens large, mais il est bien plus res­tric­tif avec les don­nées dites « sen­sibles », dont le trai­te­ment est in­ter­dit. Ces don­nées concernent ce qu’il y a de plus pri­vé chez un in­di­vi­du. Il s’agit des ori­gines ra­ciales, les convic­tions po­li­tiques, les orien­ta­tions sexuelles, les ac­ti­vi­tés syn­di­cales ou en­core les don­nées de san­té. La grande dif­fi­cul­té se­ra d’iden­ti­fier les sup­ports de ces in­for­ma­tions qui peuvent être très di­verses. Par exemple, une adresse élec­tro­nique d’un client hé­ber­gée dans un lo­gi­ciel de re­la­tion com­mer­ciale n’est pas une don­née sen­sible. Mais une adresse mail uti­li­sée dans un lo­gi­ciel RH, où il est in­di­qué que la per­sonne est syn­di­quée, est en re­vanche une don­née sen­sible. Dans le même es­prit, un nu­mé­ro d’im­ma­tri­cu­la­tion de vé­hi­cule uti­li­sé par un membre d’un par­ti po­li­tique, se­ra une don­née sen­sible. Se­lon vous par où com­men­cer pour réa­li­ser la car­to­gra­phie des trai­te­ments de don­nées per­son­nelles ? Par les ap­pli­ca­tions ou en cher­chant di­rec­te­ment les don­nées ? Pour moi, les deux sont à re­cher­cher dans le cadre de la RGPD, mais il y a néan­moins une prio­ri­té aux ap­pli­ca­tifs. Les don­nées liées à un ap­pli­ca­tif font l’ob­jet de risques dans le trai­te­ment, le dé­pla­ce­ment ré­seau (in­terne ou ex­terne) et aus­si un risque lié aux vul­né­ra­bi­li­tés de l’ap­pli­ca­tif même. Com­men­cer pas ré­per­to­rier les ap­pli­ca­tifs et don­nées as­so­ciées me semble le plus lo­gique dans un pre­mier temps mais les deux sont à faire de toute ma­nière. Comment réa­li­ser l’in­ven­taire d’ap­pli­ca­tions dans le Cloud ? Nos ou­tils de sé­cu­ri­té ré­seau per­mettent de re­pé­rer les flux d’échange avec ces services et ap­pli­ca­tions cloud pour être sûr de ne pas ou­blier cer­tains de ces flux dans l’in­ven­taire. L’en­tre­prise de­vra néan­moins in­ves­ti­guer en­suite pour sa­voir si ces services stockent de la don­née per­son­nelle, si ces don­nées res­tent en Eu­rope, le ni­veau de sé­cu­ri­sa­tion, etc. Outre les flux de don­nées, faut-il éga­le­ment scan­ner l’en­semble des sup­ports de sto­ckage du SI ? Des don­nées brutes sur un poste, même sans échange de don­nées ou ap­pli­ca­tifs as­so­ciés, peuvent consti­tuer un risque si un uti­li­sa­teur de la struc­ture est mal­veillant ou in­cons­cient du risque dans la ma­ni­pu­la­tion de ces don­nées. Il me semble donc que, dans le cadre de la RGPD, il faut à la fois re­mon­ter les flux de don­nées mais aus­si faire l’in­ven­taire des don­nées sur les es­paces de sto­ckage.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.