Les solutions de sécurisation HPE pour être en conformité avec la RGPD

A l’été 2018, toutes les entreprises européennes devront se conformer à la nouvelle Règlementation sur la Protection des Données Personnelles (RGPD). Ce règlement impose, notamment aux entreprises, de nouvelles contraintes en termes de sécurité et de protection des données personnelles. Pour s’y conformer, HPE propose du conseil et des solutions logicielles spécifiques.

Pour éviter d’être dans l’illégalité face à la nouvelle règlementation européenne en matière de gestion des données à caractère personnel (RGPD), les entreprises ont deux ans pour déployer des solutions de sécurité efficientes. Mais quelles démarches et quelles solutions adopter pour faire face à cette réglementation ?

Laurent Ridoux, HPEPour Laurent Ridoux, chief technologist chez HPE, « la première étape consiste à procéder à une analyse de risque des données de l’entreprise. Cette analyse a pour but d’identifier les informations considérées comme sensibles par la réglementation européenne (données à caractère personnel) et les données critiques, c’est-à-dire celles qui créent la valeur de l’entreprise. Il s’agit d’appliquer des politiques et des moyens de protection selon la criticité des données et, quitte à déployer des solutions de sécurisation pour se conformer à la réglementation, autant en profiter pour sécuriser toutes les données sensibles », conseille notre interlocuteur.

Pour réaliser cette analyse de risque des données, les PME peuvent se faire accompagner de prestataires tels HPE qui, en collaboration avec la DSI et les métiers, identifient toutes les données sensibles de l’entreprise. « Les opérationnels sont sollicités, car ils savent quelles sont les données critiques sur leur secteur d’activité, c’est-à-dire celles qui sont susceptibles d’intéresser la cybercriminalité », souligne Laurent Ridoux.

Au-delà des informations stockées dans les bases de données répertoriées de l’entreprise, il est courant de voir des données sensibles éparpillées dans différents fichiers bureautiques ou applicatifs au gré des usages des collaborateurs, sans que l’entreprise en ait connaissance. « Aussi, pour ne pas se retrouver dans l’illégalité face à la réglementation, il est conseillé d’utiliser un moteur intelligent de recherche et indexation comme Control Point pour identifier et remonter toutes les données sensibles circulant dans l’entreprise » poursuit-il.

HPE Secure FPE et SST : des solutions adaptées à la sécurisation

Une fois l’état des lieux achevé, l’entreprise peut opter pour deux types de solutions, soit HPE SecureData Hyper Format-Preserving Encryption (FPE), soit HPE Secure Stateless Tokenization (SST). « La solution FPE est basée sur le cryptage et l’anonymisation des données. Cette technologie consiste à utiliser un algorithme qui va chiffrer les données et les rendre illisibles à tous ceux qui ne possèdent pas la clé de déchiffrage », explique Laurent Ridoux.

Si cette technologie est sure, elle présente toutefois le risque du vol de clé par un tiers qui pourra alors accéder à l’intégralité des informations cryptées. « Par ailleurs, même si cela s’avère extrêmement difficile de pirater un algorithme, ce risque existe, reconnaît notre intervenant. C’est pourquoi il peut, dans certains cas, être pertinent d’utiliser une autre solution plus sécurisée, basée sur le processus de tokenization. La solution SST d’HPE consiste à stocker dans une base de données sécurisée les informations qui ne seront accessibles que via un token, c’est-à-dire un code généré de façon aléatoire. La protection par token rend les données volées inutilisables par les attaquants et en cas de craquage du code, le fraudeur n’a accès qu’à une seule information. »

Si la solution de tokenization est plus sure, elle est aussi plus complexe et plus chère à déployer. Il est donc important de bien identifier le degré de criticité des données pour choisir la solution la plus appropriée.

Mais que ce soit par cryptage, anonymisation ou tokenization, les PME ne pourront faire l’économie de mettre en place une véritable stratégie de sécurisation des données d’ici à 2018. Rappelons qu’en cas de non-conformité, les pénalités pourront atteindre jusqu’à 20 millions d’euros pour les PME et une amende de 4 % du chiffre d’affaires annuel mondial de la société pour les grandes entreprises. Face à ces menaces, IDC estime que les dépenses totales de logiciels de sécurité liées à la RGPD en Europe atteindront 811 millions de dollars en 2016, 1335 millions en 2017 et 1713 millions en 2018.