Illustation du fonctionnement de Skyhigh avec Office 365
Des solutions existent aujourd’hui afin de s’assurer que les règles de confidentialité définies dans l’entreprise s’appliquent aussi pour les données stockées dans le Cloud, tant dans les services de stockage, de collaboration que dans les applications Sa
pas aller plus loin. De plus, toutes nos solutions fournissent des moyens de consigner de manière centralisée toutes les actions, de sorte qu’il est facile de vérifier par la suite : Qui a fait Quoi à Quelle heure. »
Intégrer les services cloud au Privacy by Design
L’essor du Cloud se traduit aussi par la montée en puissance de l’usage des applications Saas, or dans une démarche de Privacy by Design il faut intégrer ces ressources externes dans la politique de protection des données de l’entreprise. Selon une étude Osterman Research de 2016, 25 % des données stockées dans le Cloud par les entreprises étaient déjà considérées comme confidentielles et hautement sensibles ; un taux qui devrait monter à 29 % cette année. Avec des solutions de Casb ( Cloud Access Security Broker), un RSSI peut découvrir quels sont les usages réels des services cloud dans son entreprise, éventuellement interdire ceux qui paraissent les moins sûrs. Des
solutions telles Symantec CloudSOC Cloud Data Protection – issue de l’acquisition de BlueCoat –, Netskope, CipherCloud ou encore de Skyhigh Networks, permettent de protéger par chiffrement des données stockées sur des comptes Box, Dropbox, Google Drive, mais aussi celles qui sont saisies dans des applications Saas comme NetSuite, ServiceNow ou Saleforce. com. La tokenisation apporte une solution technique élégante aux entreprises qui souhaitent bénéficier des atouts du Cloud sans rien céder en termes de contrôle de la donnée. Placée en proxy entre les utilisateurs et le service Saas, la solution remplace les données sensibles par un jeton ( token), un jeton qui fait référence à des données qui restent stockées en interne, dans le système d’information de l’entreprise. Précurseur du CASB en 2011, Skyhigh Networks met en avant le rôle de ce type de logiciels dans la protection des données sensibles. « Avant même de vouloir parler de protection de données, il est indispensable d’être en mesure de les localiser, le Cloud étant dorénavant une extension incontournable de l’IT des entreprises » , résume Joël Mollo, directeur pour l’Europe du sud de Skyhigh Networks. « Nous accompagnons les entreprises dans leur cartographie applicative des Services Cloud, par la gestion des accès à ces différents services cloud, basée sur l’identification utilisateur, mais aussi sur le type de device utilisé et sa géolocalisation, le contrôle des informations échangées vers ces différents Services Cloud. On ne va ainsi permettre le stockage externe des données qu’après un scan préalable. » Un moteur de règles DLP ( Data Loss Prevention) intégré à la solution Skyhigh permet de s’assurer que l’information peut être effectivement transférée sur un Cloud externe en fonction de la politique de sécurité de l’entreprise, son chiffrement pouvant être, le cas échéant, activé si une règle du DLP l’impose. Il n’existe pas de solutions Privacy by Design proprement dites car, à l’instar de Raphaël Brun, chez Wavestone, les experts s’accordent à dire que le Privacy by Design est une démarche organisationnelle : « Le Privacy By Design est un processus qui vise à capter les projets en cours et s’assurer qu’ils prennent en compte les exigences du GDPR. Il est parfois nécessaire d’utiliser des outils techniques comme le chiffrement des données en base, l’anonymisation des données accessibles mais la méthode doit permettre de pointer vers les solutions existantes au sein de l’entreprise – notamment de nombreuses solutions déjà mises à disposition par le RSSI ou la DSI – ou d’identifier les éventuels manques. » Au DPO ( Data Protection Officer) d’imaginer les processus compatibles GDPR de son entreprise, au DSI et au DOSI de trouver les solutions qui l’implémenteront. ❍
« Au moment de la conception d’une application, il est primordial de réfléchir aux données qu’il va être nécessaire de collecter » Mos Amokthari, directeur technique France de CA Technologies