RGPD : Quelles mesures techniques devez-vous mettre en place ?

Article 32 du Règlement Général Européen sur la Protection des Données (RGPD) indique que les organisations doivent mettre en place « les mesures techniques et organisationnelles appropriées » afin de gérer les risques. Il fournit également quelques exemples de mesures, mais ne donne pas beaucoup de détails quant aux raisons pour lesquelles elles sont nécessaires ou ce en quoi elles consistent.

Ce blog a pour but de répondre à ces questions, tout en abordant les thèmes des tests d’intrusion ainsi que l’analyse des faiblesses.

 

Analyse des faiblesses

Les défenses de sécurité réseau de nombreuses organisations ne consiste qu’à gérer les correctifs et les logiciels antivirus. Ceux-ci sont essentiels mais la révision des paramétrages, des applications tierces et hardware le sont également. C’est ce à quoi servent les analyses de faiblesses.

Une analyse des faiblesses est une procédure automatique permettant de trouver et d’alerter les organisations concernant les faiblesses de leurs systèmes. Il existe deux types d’analyses : internes et externes. L’analyse externe cherche les moyens pouvant être utilisés par des tiers malveillants afin d’exploiter l’organisation. L’analyse interne recherche les menaces internes à l’organisation, tel que l’abus de privilèges.

Les organisations doivent mener des analyses des faiblesses régulières afin de sécuriser la plupart des défauts de sécurité pouvant générer des violations de données. Cependant, il est important de savoir interpréter les résultats de l’analyse. De nombreux professionnels constatent que les risques sont souvent classes comme “faibles” ou “moyens” et en déduisent que les défenses des organisations sont assez efficaces. Mais, la plupart des faiblesses peuvent être utilisées par les hackers criminels. Afin d’empêcher que cela ne se produise, vous devrez organiser des tests d’intrusion réguliers.

 

Tests d’intrusion

Les tests d’intrusion constituent essentiellement une forme contrôlée de piratage durant laquelle un professionnel des tests d’intrusion, travaillant au nom de l’entreprise, utilise les mêmes techniques que les pirates criminels afin de trouver les faiblesses de son réseau ou de ses applications.

Si une analyse des faiblesses peut être automatisée, un test d’intrusion requiert un certain niveau d’expertise et de travail. Un bon testeur peut rédiger des scripts, changer les paramètres d’une attaque et affiner la configuration de leurs outils.

Les tests peuvent être opérés au niveau des applications et du réseau, et le champ d’application peut être ajusté selon les services, fonctions ou bien certains actifs. Alternativement, les tests peuvent analyser toute l’infrastructure ainsi que ses applications, bien que ce soit généralement peu réaliste.

 

Répondre aux exigences budgétaires

Les tests d’intrusion ont souvent été comparés à un moyen coûteux ayant pour but de découvrir où dépenser plus d’argent. Cependant, sans test, les entreprises s’exposent à des violations de données et cyber-attaques, ce qui coutera surement plus qu’un test d’intrusion.

Il existe également des moyens permettant de réduire les coûts des tests d’intrusion. Par exemple, il n’est pas toujours nécessaire de tester tous les aspects d’une application ou d’un réseau. Cela ne serait obligatoire que si vous conservez des données très sensibles ou que vous avez une raison de penser que vous pourriez être la cible de pirates criminels.

 

Séminaire gratuit sur les tests d’intrusion

Apprenez-en plus sur les tests d’intrusion – plus particulièrement sa pertinence en matière de RGPD – en regardant le séminaire en ligne (en Anglais) Compliance solutions: How can penetration testing support your GDPR project?

Ce séminaire gratuit comprend :

  • Une explication des exigences du RGPD concernant les tests de sécurité ;
  • Des conseils concernant les tests de pénétration afin d’informer votre conformité avec le RGPD ;
  • Des conseils vous permettant de choisir le test le plus approprié ; et
  • Un exemple de ce à quoi les tests RGPD peuvent ressembler.

Ce séminaire est disponible en téléchargement sur notre site internet.

Compliance solutions: How can penetration testing support your GDPR project? >>

 

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.