protection des données introduction au règlement européen · varonis systems. proprietary &...
TRANSCRIPT
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.
Our mission is to help enterprises realize value from their unstructured data.
Protection des données – Introduction au règlement EuropéenGuillaume GARBEY, CISSP
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.2
IntroductionQui nous sommes
Cadre de menaces & Enjeux de sécurité
Qu’est ce qu’une donnée sensible?
Présentation GDPREn bref
Qu’est ce qu’une données à caractère personnel?
Que faut il faire?
Couverture GDPR par Varonis
Principe d’approche & rétroplanning
Focus classification
Démo
Agenda
Introduction
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.4
Société VARONIS & Solutions de gouvernance de données
WW File Analysis Market
VARONIS Autres éditeurs(25)
La société:• Siège à NY (USA) / 300 développeurs• Siège Europe continentale à Paris• 1100 Collaborateurs• Présent sur les 5 continents• 5000 clients• 30 à 40 % de croissance (organique)
par an
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.5
Menaces & Enjeux de sécurité
Menaces
Phishing
Ransomware / Autre type de malware
Employé malveillant
Administrateur malveillant
Attaquant / Hacktivistes
Erreur humaine…
Exemples
Shadow IT
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.6
De quoi cherche t-on à se protéger?
Administrateur malveillant
Employé malveillant / lanceur d’alerte Hacker / Hacktivistes
Ransomware / Autre type de malware
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.7
Que cherche t-on à protéger?
Données structurées(ERP, CRM,
…)
Le patrimoine informationnel
Données non structurées (Serveurs de fichiers, SharePoint, Exchange, Cloud,…) et l’identité (Active Directory)
PHI (Personal Health Identifier)
PII (Personal Information Identifier)
PCI (Payment Card Industry)
IP(Intellectual Property)
HR, Clients, Fournisseurs, Propriétés intellectuelles, Données soumises aux réglementations, …
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.8
Alertes & Analyse
comportementale
Remédiation sans impacts
Capacité d’analyse
des données
Traçabilité & Compréhension
des usages
Contrôles d’accès
(permissions)
eDiscovery & Classification
Solutions de productivité pour les entreprises autour
des données
Comment se protéger? – Les fonctionnalités nécessaires
Données structurées(ERP, CRM,
…)
Le patrimoine informationnel
Données non structurées (Serveurs de fichiers, SharePoint, Exchange, Cloud,…) et l’identité (Active Directory)
PHI (Informations de santé)
PII (Donnés à caractère personnelles)
PCI (Données cartes bancaires / paiement)
IP(Propriété intellectuelle)
HR, Clients, Fournisseurs, Propriétés intellectuelles, Données soumises aux réglementations, …
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.9
Alertes & Analyse
comportementale
Remédiation sans impacts
Capacité d’analyse
des données
Traçabilité & Compréhension
des usages
Contrôles d’accès
(permissions)
eDiscovery & Classification
Solutions de productivité pour les entreprises autour
des données
Comment se protéger? – Les solutions
Données structurées(ERP, CRM,
…)
Le patrimoine informationnel
Données non structurées (Serveurs de fichiers, SharePoint, Exchange, Cloud,…) et l’identité (Active Directory)
PHI (Informations de santé)
PII (Donnés à caractère personnelles)
PCI (Données cartes bancaires / paiement)
IP(Propriété intellectuelle)
HR, Clients, Fournisseurs, Propriétés intellectuelles, Données soumises aux réglementations, …
Présentation GDPR
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.11
Rappels GDPR - en bref
Règlement Européen pour la protection des données à caractère personnelles
16 mois pour se mettre en conformité (printemps 2018!)
Les entreprises de plus de 250 salariés du secteur privé et les entités du secteur public doivent nommer un DPO (Data Privacy Officer)
Les violations et incidents doivent être notifiées dans les 72 H (A l’autorité de contrôle compétence - la CNIL en France)
Les responsables de traitement ne sont plus les seuls responsables! Attention aux sous traitants et fournisseurs!
Fini la directive 95/46/CE, les amendes pour non-conformité peuvent atteindre 4% du chiffre d’affaire mondial consolidé de l’exercice fiscal
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.12
Rappels GDPR - en bref
Reconnaissance des mécanismes de transfert à l’international ie. règles contraignantes d’entreprise ou binding corporate rules (BCR « Responsable de traitement » et « sous-traitant »)
• Ex: Dans une entreprise américaine, mon Responsable RH est aux USA mais peut être amené à traiter mes données sur le sol américain.
Renforcement du droit des personnes concernées• Droit d’accès de rectification ou d’opposition (articles 15 & 16),• Droit à l’effacement ou droit à l’oubli (article 17),• Droit à la portabilité (article 20),• Information pour la mise en œuvre des traitements.
Le règlement s’applique à toute entreprise qui traite des données à caractère personnel de citoyen Européen et qui a des filiales en Europe.
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.13
Rappels GDPR – Qu’est ce qu’une donnée à caractère personnel?
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-10-09_GDPR_with_addendum_FR.pdf
« Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement »
Nom, Prénom, Adresse (physique et mail), numéro de téléphone, lieu de naissance, numéro de sécurité sociale (Identifiant universel!!!), numéro de CB, de plaque d’immatriculation, …
… sans oublier numéro de carte grand voyageur, IMEI, badge cantine, …
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.14
Rappels GDPR – Données à caractère personnelles
Champ d’application matériel
Article 2 :
« Le présent règlement s’applique autraitement de données à caractèrepersonnel, automatisé en tout ou partie,ainsi qu’au traitement non automatisé dedonnées à caractère personnel contenuesou appelées à figurer dans un fichier. »
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.15
Menaces pertinentes, … exemples
ID menace
Menace Exemple Probabilité d’occurrence
#1 Utilisateur interne / externe curieux ayant un compte dans l’AD Un stagiaire été, qui « gratte » sur les serveurs de fichier au détour d’un moment d’oisiveté.
Haute
#2 Utilisateur non informaticien mais avec volonté de nuire Un salarié licencié qui voudrait nuire à son employeur (ex: copie des données dans un cloud public? )
Haute
#3 Utilisateur informaticien avec ou sans volonté de nuire disposant d’un compte à privilège
• Un administrateur (opérateur de compte) qui réaliserait une élévation de privilège pour accéder à des données sensibles.
• Informaticien avec un compte privilège « choppant » un cryptovirus qui s’executerait dans le contexte de son compte
Moyenne
#4 Informaticien disposant d’un compte à privilège avec volonté de nuire
Un administrateur licencié qui voudrait nuire à son employeur et ayant l’accès aux outils de monitoring pour « débrancher » les alarmes et supprimer les traces
Moyenne
#5 Attaque ciblée par un script kiddy Etudiant en sécurité informatique voulant mettre à l’épreuve la sécurité de l’entreprise
Faible
#6 Attaque ciblée par une organisation ayant du temps et de l’argent « Hacktivisme » du fait de la nature des activités (jeux / luxe / tabac / lobby / banques …)
Très Faible
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.16
Eléments redoutés / risques
Evènement redouté Menace applicable (#) Impact Probabilité d’occurrence
[Domaine externe] Fuite d’informations (divulgation interne / externe) à caractère personnel des clients (leur adresse, leur nom / prénom, …)Ex: Fuite des PII d’Orange en 2014, 10.000.000 de comptes dropbox compromis, …, Comptes Linked In piratés, …
#1, #2, #3, #4, #6 (très) Important
Financière: Sanction CNIL pouvant aller à 4% du chiffre d’affaire. Baisse des revenus,Déficit d’imageProcès du fait d’un harcèlement moral concomitant, …
Moyenne
[Domaine externe] Fuite d’informations (divulgation interne / externe) à caractère personnel des centres détaillant importants
#2, #3, #4, #6 Important
Financière: Sanction CNIL pouvant aller à 4% du chiffre d’affaire. Baisse des revenus,Déficit d’imageProcès, …
Moyenne
[Domaine interne] Salarié qui exerce son droit à l’oubli, son droit d’accès ou de rectification suite à un licenciement
#2, #4 Moyen
Le DPO devra réaliser un inventaire qui risque de s’avérer impossible à réaliser sans outillage adapté.
Moyenne
[Domaine interne] Divulgation d’éléments de rémunération (VIP / Patron, …) #1, #2, #3, #4, #6 Faible
Négociation d’augmentations, sanction CNIL en cas de procès
Moyen
[Domaine externe / interne] Fuite en nombre & Utilisation de PII à des finmalveillantesEx: vente sur le darknet des numéros de CB, Carte Vitale, ..., Passeport, CNI, …
#6 Important
Financière: Sanction CNIL pouvant aller à 4% du chiffre d’affaire. Baisse des revenus,Déficit d’imageProcès, …
Faible
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.17
Rappels GDPR – Ou sont elles?
SI RH & PAYE
CRM / Bases fournisseurs
Modules Paiement, agences de voyages, CE/DP,…
Dans mes SI métier
Serveurs de fichiers NAS
SharePoint, Messagerie, …
Cloud
Dans mes données non structurées mais sans
que j’en ai la connaissance ni la maitrise
Le VRAI enjeu est la!
On a généralement les déclarations CNIL pour ces traitements…(dans ces systèmes)
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.18
Rappels GDPR – Que faut il faire?
Le principe de Privacy Impact Assessment
https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf
Etape 1 – Délimiter le périmètre & préciser les enjeux
Etape 2 – Décrire les mesures mises en œuvre pour couvrir les risques
Etape 3 – Analyse de risques (Ebios pour ANSSI)
Etape 4 – Décision / Risques résiduels / acceptation / transfert
Il ne suffit plus de dire que l’on est conforme, il faut le prouver!
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.19
Article 25 – définit les obligations du responsable du traitementqui découlent des principes de protection des données dès laconception et de protection des données par défaut.
DA: Gestion des permissions et application du principe de moindreprivilège.
Article 30 – introduit l’obligation, pour les responsables dutraitement et les sous-traitants, de conserver une tracedocumentaire des opérations de traitement sous leurresponsabilité
DA & DCF: Ou sont mes fichiers sensible? Qui y a accès? Qui yaccède? Est ce que cela peut être archivé / supprimé?
Article 19 – confère un droit à l’oubli numérique et àl'effacement.
DCF & DTE: Trouver les données, les sanctuariser et / ou lessupprimer.
Article 32 – oblige le responsable du traitement et le sous-traitant à mettre en œuvre les mesures appropriées pour assurerla sécurité du traitement.
DA & DP: Remédiation et automatisation de l’application du principede moindre privilège avec l’aide des métiers.
Article 33 – introduit une obligation de notification des violations
de données à caractère personnel
UBA & DL: Détection des violations, fuite de données, divulgations,
et alertes.
Article 35 – introduit l’obligation, pour les responsables du
traitement et les sous-traitants, d’effectuer une analyse d’impact
relative à la protection des données préalablement aux
traitements présentant des risques.
DA & DCF: Data Risk Assessment!
Couverture GDPR par les solutions VARONIS
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.20
Rétro planning pour la mise en conformité
VARONIS – Domaine données non structurées
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.21
Principe d’approche
Calqué sur le plan de protection de l’information
Itératif (dans l’analyse & dans la remédiation)
Par périmètre prioritaires avec une approche pilotée par les risques (PIA)1. Les périmètres contenant des données
sensibles accessibles par « tout le monde »
2. Les périmètres contenant des données sensibles accessibles à « trop de monde »
3. Les autres périmètres
Démarche générale
Approche pragmatique, s’adapter à la nature et au métier de l’entreprise• Il n’est pas anormal que l’INSE fasse une étude statistique sur les numéro de sécurité sociale• Il n’est pas anormal d’avoir des données RH dans son SI RH, mais il est anormal d’en avoir une copie sur un NAS…
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.22
Zoom sur les solutions
SOCInvestigation / Forensic / Avec DatAdvantage
Utilisateur malveillant / Malware
Utilisateur
Propriétaire de données
T:
T:
T:
Active Directory
DatAdvantageData Classification
• Gestion des permissions• Traçabilité sur tous les
environnements• Propriétaires de données• Sensibilité de
l’information
Framework de meta data
Filer (NAS / Win)
RSSI / CISODL DashBoard
DatAlert Suite
DatAdvantage
Data Privilege
SelfService / demande de droits
Revues de droits
DatAlert
DatAlertAnalytics (UBA)
Alert – permission opened on critical data!
UBA – Abnormal Behavior Access to Stale Data
IT/ Infrastructure / cellule habilitations
Gouvernance données / Remédiation / Analyse d’impacts / Gestion des
permissions
Permissions
Traces & Logs
Analyse des menaces avec Dashboard et modèles de menaces
Pilotage de la sécurité & Conformité
Sensibilité information
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.23
Plan de protection de l’information
Inventaire des permissions
Identifiez les données sensibles (ex à caractère personnelles)
Traçabilité alertes temps réel et comportementales
Découvrir & Comprendre Guérir & Prévenir
Sécuriser les données / réduire l’exposition au risque
Corriger les anomalies techniques (filer / annuaire)
Impliquer le métier pour les revues de droit
Pérenniser
Monitoring continu & analyse des déviances
Workflow & révocation automatique des droits
Automatisation des revues de droit
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.24
Avec VARONIS – Les solutions
Découvrir & Comprendre
Pérenniser
Suite
Guérir & Prévenir
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.25
Data Classification Framework (DCF)
est un module de DatAdvantage
(DA):Il enrichit le framework de meta-
données de DA avec la classification de
l’information
DCF propose un moteur d’indexation de
contenu afin de pouvoir classifier
l’information sur la base des méta-data
propres au fichier ou de son contenu.
DCF propose des règles de
classifications préétablies et donne la
possibilité d’en créer de nouvelles pour
s’adapter au contexte / pays / besoins…
Focus Classification – découverte des données à caractère personnelles
SharePoint / One drive
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.26
Une règle est une combinaison de plusieurs critères parmi deux ensembles:Des reGex (expressions régulières)
Des dictionnaires thématiques
Focus Classification – découverte des données à caractère personnelles
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.27
DCF vient dont enrichir le framework de meta-data de Varonis avec la
sensibilité de l’information (découverte / protection)
DCF est également capable d’aller récupérer les informations de classification
depuis une solution tierce
En disposant dans un seul entrepôt de données (méta data) et d’un moteur
d’audit et de remédiation central c’est l’assurance de pouvoir adresser le GDPR
pour les données non structurées, et la protection du patrimoine informationnel
au sens large.
Focus Classification – proposition de valeur
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.28
Sur demande ([email protected])Varonis_Flyer_EU_GDPR_French_Flyer_061516_RGB.pdfVaronis_Whitepaper_EU_General_Data_Protection_FR.pdf2_GT33_Présentation CNIL CESIN-Reglement.pdfMathias Avocats- Livre Blanc Règlement Données personnelles - Avril 2016.pdf
Références:http://www.globalsecuritymag.fr/GDPR-Une-legislation-peu-connue,20150119,50078.htmlhttps://en.wikipedia.org/wiki/General_Data_Protection_Regulationhttp://ec.europa.eu/justice/data-protection/index_en.htmhttp://ec.europa.eu/justice/data-protection/reform/index_en.htmhttp://www.allenovery.com/SiteCollectionDocuments/Radical%20changes%20to%20European%20data%20protection%20legislation.pdf
Littérature & références
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.29
Exemples - démo
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.30
Exemples - démo
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.31
Exemples - démo
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.32
Exemples - démo
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.33
Demo
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.34
Leader technologique sur le marché de la sécurité et l’analyse des données avec 60% de parts de marché selon le Gartner
Plus de 10 ans d’expérience dans la protection des données de plus de 5000 clients dans le monde,
Les très grandes entreprises avec de grands déploiements font confiance à varonis dans tous les domaines (banque, assurance, commerce de détail, énergie, fabrication, luxe ...). Nous pouvons prouver que notre solution s'adapte aux grands comptes et nous pouvons démontrer que notre solution est très évolutive dans des environnements hautement distribués.
APPROCHE SIMPLE ET PRAGMATIQUE POUR REDUIRE LES RISQUES ET PROTEGER VOS DONNEES AVEC UNE PLATE-FORME INTEGREE DE SÉCURITÉ DES DONNÉES.
Pourquoi VARONIS?
VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.
Thank YouGuillaume GARBEY – Senior consultant & Customer Success Manager
CISSP, ISO27001 LA, ITIL V3
+33 6 21 16 57 47