Plateforme de sécurité nouvelle génération : maillon essentiel de la conformité au RGPD
POURQUOI LA PLATEFORME PALO ALTO NETWORKS S’IMPOSE COMME UN LEVIER STRATÉGIQUE DE LA CONFORMITÉ AU RGPD
Que ce soit pour la protection des données personnelles ou le respect du RGPD, la cybersécurité s’élève désormais au rang des investissements essentiels.
Le RGPD porte principalement sur la gestion des données, et plus précisément sur leur collecte et leur traitement. Ses exigences sont diverses : notification obligatoire de la collecte des données personnelles, interdiction du traitement des données sans consentement, conservation obligatoire des enregistrements liés au traitement des données, nomination obligatoire d’un responsable de la protection des données dans certains cas, règles concernant le transfert de données personnelles à des tiers et des pays tiers, etc.
Mais cela ne doit pas occulter le fait que la sécurité des données est également l’un des piliers du RGPD – qui adopte une terminologie spécifique en la matière, comme nous l’expliquons en détail ci-dessous. Autre point à ne pas négliger, la protection des données personnelles passe par leur sécurisation, à la fois contre toute tentative d’exfiltration par un cybercriminel et contre les fuites internes. Ainsi, pour se préparer au RGPD, les organisations ne peuvent se contenter d’investir dans la mise en conformité et les processus et technologies de gestion de l’information : il leur faut aussi prendre à bras-le-corps les problématiques de cybersécurité.
Synthèse des différents articles du RGPD (le texte intégral du RGPD est disponible ici) :
Thème |
Synthèse des articles |
Sécurité du traitement des données |
Les organisations doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité des données adapté au risque. Ces mesures doivent tenir compte de l’état actuel des connaissances. [Article 32] Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement ainsi que l’utilisation non autorisée de ces données et de cet équipement. [Considérant, paragraphe 39] Dans le cadre de l’évaluation des risques pour la sécurité des données, il convient de prendre en compte les risques que présente |
Notification des violations de données |
---------------------------------------------------------------------------------------------- Les autorités de contrôle doivent être informées en cas de perte, de vol ou de compromission de données à caractère personnel, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour la personne concernée. La notification doit avoir lieu dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Dans certains cas, les personnes concernées doivent être informées. Les notifications doivent décrire diverses informations sur la violation, telles que sa nature, les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés, les mesures prises pour remédier à la violation et en atténuer les éventuelles conséquences négatives ainsi que d’autres éléments. [Articles 33 et 34] |
Amendes administratives |
---------------------------------------------------------------------------------------------- Les autorités de contrôle doivent sanctionner les infractions au RGPD en imposant des amendes administratives au cas par cas. Pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende administrative, les autorités sont invitées à prendre en considération de nombreux facteurs, notamment le degré de responsabilité compte tenu des mesures techniques et organisationnelles mises en œuvre en fonction de l’état actuel des connaissances, conformément à l’article 32. [Article 83] |
Palo Alto Networks® accompagne les organisations dans leurs initiatives de sécurité et de protection des données en rapport avec le RGPD. Une action concrète qui intervient à divers niveaux :
1. Sécurisation des données personnelles. Le RGPD exige de garantir la sécurité du traitement des données, en tenant compte de l’état actuel des connaissances. Une mission que remplit parfaitement notre plateforme de sécurité nouvelle génération en assurant la sécurité à l’échelle des applications, du réseau, des terminaux et du cloud.
2. Prévention des violations de données. La prévention des violations de données – qu’elles résultent d’un piratage ou d’une fuite accidentelle – est cruciale pour la conformité au RGPD. Dans ces conditions, la protection des données personnelles et applications critiques de votre entreprise exige une cybersécurité à toute épreuve. Là encore, notre plateforme de sécurité nouvelle génération est conçue pour la prévention.
3. Notification des violations de données. Toute violation avérée doit être signalée. À cette fin, notre plateforme de sécurité nouvelle génération vous aide à identifier les données personnelles compromises et à détailler les mesures prises pour la remédiation.
De nombreux produits de notre portefeuille sont taillés pour répondre à ces impératifs. Nous vous les présentons plus en détail ci-après.
Sécurisation des données personnelles
À l’heure où le RGPD exige de garantir la sécurité du traitement des données en tenant compte de l’état actuel des connaissances, la plateforme Palo Alto Networks sécurise les données à l’échelle des applications, du réseau, des terminaux et du cloud.
Pour véritablement réduire les cyber-risques et sécuriser les données, notamment personnelles, il est indispensable de mettre en place des contrôles intégrés, automatisés et efficaces. L’objectif : détecter et prévenir les menaces connues et inconnues à chaque étape du cycle de vie d’une attaque. Pensée pour la prévention, la
plateforme de sécurité nouvelle génération de Palo Alto Networks donne les moyens aux entreprises d’adopter en toute confiance une stratégie digital-first alignée sur leurs initiatives technologiques clés dans le cloud et, de plus en plus, sur les réseaux mobiles. L’idéal pour protéger les données critiques contre toute tentative d’exfiltration par un cybercriminel et contre les fuites accidentelles.
En pratique, notre plateforme combine sécurité des réseaux et des terminaux et Threat Intelligence. Ainsi, elle ne se contente pas de repérer les cyberattaques : elle les bloquent en amont de façon automatisée. Pour cela, elle réunit tous les incontournables de la sécurité (pare-feu, filtrage des URL, IDS/IPS, protection avancée des terminaux, prévention avancée des menaces, etc.), et met en commun les informations stratégiques fournies par ces différentes fonctionnalités. Une intégration native sans pareille pour la prévention des cybermenaces, qui permet à notre plateforme de surpasser les pare-feu, antivirus et produits spécialisés de détection des menaces d’ancienne génération. Autrement dit, une meilleure sécurité favorise une meilleure protection des données.
Technologie de pointe
Le RGPD impose des mesures de sécurité techniques et organisationnelles qui tiennent compte de l’état actuel des connaissances. Face à cette exigence, la mosaïque de solutions spécialisées qui compose les systèmes de sécurité traditionnels n’est pas de taille face à des cyberattaques de plus en plus nombreuses, automatisées et sophistiquées. D’où la nécessité pour les RSSI de passer attentivement en revue leurs outils existants afin d’évaluer s’ils sont ou non à la hauteur.
Le champ des menaces évoluant constamment, la technologie doit suivre le rythme et s’adapter. C’est pourquoi la plateforme de sécurité nouvelle génération de Palo Alto Networks combine sécurité des réseaux et des terminaux et Threat Intelligence. Ainsi, elle ne se contente pas de repérer les cyberattaques : elle les bloque en amont de façon automatisée. Et contrairement aux produits spécialisés d’ancienne génération, elle s’appuie sur la force collective de milliers de clients, partenaires technologiques et chercheurs qui mettent en commun leurs données CTI. Résultat, notre technologie neutralise les attaques sur les points stratégiques et tactiques visés par les attaquants. Côté protection, il nous suffit de cinq minutes pour fournir à nos clients des protections adaptées aux dernières menaces observées. Ainsi, nous développons plus d’un million de nouvelles mesures préventives chaque semaine, à mesure que nous identifions de nouvelles menaces zero-day. Grâce à notre plateforme, les entreprises bénéficient d’un triple avantage : elles peuvent utiliser en toute sécurité leurs applications critiques, piloter sereinement leurs nouveaux projets technologiques et contrer les cyberattaques les plus simples comme les plus sophistiquées. Pour les RSSI qui souhaitent toujours garder une longueur d’avance, Palo Alto Networks s’impose donc comme une évidence.
Prévention des violations de données
La prévention des violations de données – qu’elles résultent d’un piratage ou d’une fuite accidentelle – est cruciale pour la conformité au RGPD. Dans ces conditions, la protection des données personnelles et applications critiques de votre entreprise exige une cybersécurité à toute épreuve.
Notre plateforme s’articule autour de quatre piliers préventifs qui garantissent à la fois la sécurité des données et la conformité au RGPD.
- Visibilité totale. Puisqu’on ne peut sécuriser que ce que l’on voit, notre plateforme assure une visibilité complète sur l’ensemble du trafic à l’échelle du réseau, des terminaux et du cloud – avec une classification par application, utilisateur et contenu. Les entreprises disposent ainsi de tout le contexte nécessaire pour appliquer des politiques de sécurité dynamiques.
- Réduction de la surface d’attaque. Face à la multiplication des applications et appareils au sein des entreprises (par exemple, SaaS, cloud et IoT), la surface d’attaque s’étend rapidement, ouvrant la voie à de nouveaux risques d’infiltration. Une aubaine pour les cybercriminels qui n’ont qu’à s’engouffrer dans la brèche pour exfiltrer des données personnelles. Notre parade : un modèle de sécurité positive qui réduit la surface d’attaque en ne laissant passer que les applications autorisées pour les utilisateurs autorisés (et en bloquant tout le reste).
- Prévention des menaces connues. Chevaux de Troie permettant de dérober des informations, malwares, exploits… bon nombre de violations de données résultent de menaces connues. Sur le périmètre, notre plateforme contrôle les vecteurs d’attaque grâce à la gestion granulaire de tous les types d’applications. L’intérêt est double : réduire immédiatement la surface d’attaque du réseau, puis ensuite analyser l’ensemble du trafic en vue de débusquer les exploits, malwares, URL malveillantes et fichiers ou contenus dangereux ou restreints. En parallèle, nous combinons la CTI collective de nos clients aux quatre coins du globe avec notre approche unique de prévention multi-technique pour bloquer les malwares et exploits connus avant qu’ils ne compromettent les terminaux.
- Prévention des menaces inconnues. Notre plateforme est capable d’identifier et de bloquer de manière proactive les malwares et exploits inconnus, souvent utilisés dans les attaques sophistiquées et ciblées. Concrètement, lorsqu’un nouveau malware ou exploit est détecté, le service cloud d’analyse des menaces Wildfire® crée automatiquement un nouveau contrôle qu’il partage avec vos dispositifs de prévention (par exemple, pare-feu nouvelle génération et service Traps™ Advanced Endpoint Protection) – souvent en cinq minutes à peine et sans intervention humaine. De même, Traps s’appuie sur une approche multi-technique unique pour contrer les principales techniques employées par les exploits zero-day, et identifier puis bloquer les malwares inconnus avant qu’ils ne puissent compromettre les terminaux.
Et pour éviter les problèmes liés au transfert et à la confidentialité des données, Wildfire EU, un service cloud situé au sein de l’UE, permet d’analyser les données sans les transférer dans une autre région.
Ces techniques de prévention sont appliquées par WildFire, le moteur de prévention et d’analyse des exploits et malwares zero-day le plus pointu du marché. Ce service cloud adopte une approche multi-technique pour détecter et neutraliser les menaces les plus furtives. Il agit pour cela sur plusieurs tableaux : analyses dynamiques et statiques, techniques innovantes de machine learning et environnement d’analyse bare-metal révolutionnaire. Et comme les approches traditionnelles sont par essence limitées, WildFire exploite les synergies de quatre techniques complémentaires pour neutraliser les menaces inconnues tentant de contourner les systèmes de sécurité en place :
- Analyse dynamique : permet d’observer et de détoner les fichiers dans un environnement virtuel sur mesure, résistant aux tentatives de contournement. Des malwares zero-day peuvent ainsi être détectés à l’aide de centaines de caractéristiques comportementales.
- Analyse statique : détecte efficacement les malwares et exploits qui tentent d’échapper à l’analyse dynamique, et identifie instantanément les variants de malwares existants.
- Machine learning : extrait des milliers de caractéristiques uniques de chaque fichier pour entraîner un modèle ML prédictif et identifier de nouveaux malwares et exploits – ce qui est impossible avec une simple analyse statique ou dynamique.
- Analyse bare-metal : envoie automatiquement les menaces furtives vers un environnement matériel réel où elles sont détonées, empêchant ainsi les hackers de déployer des techniques d’analyse anti-VM.
La combinaison de ces fonctionnalités permet à WildFire de repérer et de prévenir les malwares et exploits inconnus avec une efficacité élevée – et quasiment sans faux positifs.
Gestion centralisée des processus de sécurité
Le RGPD s’applique à toute organisation qui traite des données personnelles concernant des résidents de l’UE, et ce, où qu’elle se trouve. Lorsque le traitement de ces données est effectué sur plusieurs sites (ce qui est souvent le cas dans les grandes entreprises et multinationales), chacun d’eux est tenu de respecter la règlementation. C’est là que la solution de gestion de la sécurité réseau Panorama™ intervient pour simplifier la création et la gestion de politiques de sécurité consolidées et faciles à appliquer pour nos pare-feu nouvelle génération. Vous êtes ainsi à même d’implémenter à la fois une politique centralisée et des politiques régionales spécifiques, et de déléguer facilement certaines tâches à des administrateurs régionaux selon vos besoins ou vos préférences. Autrement dit, vous disposez de la flexibilité nécessaire pour mettre en œuvre des politiques en fonction de vos besoins métiers et des lois régionales en vigueur. Par exemple, un administrateur Panorama peut appliquer des politiques de sécurité pour les pare-feu situés dans une filiale à Singapour ou au Brésil, même si les administrateurs régionaux de ce site n’ont pas connaissance des obligations de protection des données liées au RGPD.
Prévention des exfiltrations et fuites de données
Les violations de données peuvent résulter d’une exfiltration ou d’une fuite de données, deux problématiques que notre plateforme permet de résoudre.
Grâce à notre plateforme de sécurité nouvelle génération, chaque étape clé du cycle de vie de l’attaque se heurte à un modèle de défense qui empêche l’exfiltration des données. Et cela vaut pour toutes les étapes : tentative initiale d’infiltration du périmètre, propagation de malwares, exploitation de la vulnérabilité d’un terminal, déplacements latéraux au sein du réseau pour atteindre la cible ultime, ou encore tentative d’exfiltration de données personnelles et sensibles.
Pour garantir la conformité au RGPD, il est également capital d’empêcher la fuite et le partage accidentels de données par vos communautés d’utilisateurs, en interne comme en externe – et ce, à l’échelle de toute l’infrastructure. Car les utilisateurs représentent le risque le plus courant, surtout lorsqu’ils utilisent des applications SaaS. Souvent mal formés et inconscients du danger, leur imprudence favorise les fuites accidentelles de données personnelles. Notre plateforme de sécurité aborde ce problème de front en agissant à plusieurs niveaux :
- Sécurité au niveau du réseau. Pour protéger les données de votre entreprise, des profils intégrés de filtrage des données sur le pare-feu nouvelle génération empêchent les fuites accidentelles au niveau de la couche réseau. Vos administrateurs système peuvent appliquer des politiques d’inspection et de contrôle des contenus qui traversent votre réseau afin de limiter les transferts non autorisés de données sensibles (numéros de carte bancaire, etc.).
- Sécurité au niveau des applications SaaS. Les entreprises doivent pouvoir contrôler l’accès à leurs applications SaaS et le respect de leur politique de partage de l’information pour mieux stopper les fuites de données.
- Les organisations opérant en Europe peuvent sélectionner le data center Prisma™ SaaS européen pour respecter leurs obligations en matière de résidence des données.
◦ Pour répondre à ces besoins, notre plateforme s’appuie sur notre pare-feu nouvelle génération (avec par exemple les technologies User-ID™, App-ID™ et Content-ID™) ainsi que le service de sécurité Prisma™ SaaS. Concrètement, le pare-feu nouvelle génération analyse tout le trafic entre votre réseau et les applications SaaS. Seul bémol, les services de sécurité in-line ne parviennent pas toujours à détecter certaines activités dans le cloud, comme les autorisations de partage de données et l’accès aux données du cloud à partir d’un emplacement hors réseau (sans VPN). Dans ce cas de figure, Prisma SaaS vient au renfort de votre pare-feu nouvelle génération en utilisant des API SaaS afin de se connecter directement aux applications SaaS. Résultat : une visibilité complète sur les activités de chargement et de partage de vos utilisateurs. Prisma SaaS vous permet ainsi d’afficher et de surveiller les chargements de fichiers sur toutes les ressources de vos applications SaaS comme Box, Microsoft® Office, Dropbox®, Salesforce®, Secure Data Space, etc. Vous pouvez également appliquer des politiques pour imposer et garantir une utilisation responsable de vos ressources (y compris vos données personnelles) et pour vous prémunir contre les fuites de données accidentelles causées par des erreurs humaines, comme le partage involontaire ou incohérent d’informations et l’échange de contenus via des liens potentiellement exposés à Internet. Dans les faits, la détection d’une violation de politique provoque le déclenchement d’une alerte. Si votre configuration l’y autorise, Prisma SaaS prend alors des mesures automatiques afin d’éliminer le risque.
- Sécurité au niveau du terminal. Traps Advanced Endpoint Protection s’appuie sur une approche multi-technique de prévention des compromissions de terminaux par des menaces connues et inconnues, y compris les exploits zero-day et les nouveaux malwares.
- Lutte contre le vol d’identifiants. Les identifiants et mots de passe volés représentent un vecteur d’attaque courant. En effet, les cybercriminels parviennent sans grand mal à subtiliser ces informations afin d’obtenir le niveau d’accès désiré.
◦ Notre plateforme intègre des fonctionnalités qui neutralisent les menaces exploitant des identifiants volés tout au long du cycle de ces attaques.
Souvent, les cybercriminels misent sur le phishing, par e-mail ou via les réseaux sociaux, pour inciter les utilisateurs à saisir leurs identifiants et mots de passe professionnels. Notre plateforme empêche les utilisateurs de partager leurs informations avec des sites inconnus et non autorisés, ce qui prévient les fuites d’identifiants et de mots de passe. Et parce que les identifiants volés servent généralement à accéder aux systèmes critiques d’une entreprise, nous vous protégeons également contre la propagation latérale des menaces. Pour cela, nous appliquons des politiques d’authentification multifacteur (MFA) à vos applications critiques qui contiennent des données sensibles.
Mieux encore, notre service de Threat Intelligence contextualisée AutoFocus™ intègre des sources CTI externes dont elle partage les éclairages à travers notre plateforme de sécurité, via notre application MineMeld™. Une fois les indicateurs de compromission collectés, MineMeld filtre, élimine les doublons et consolide les métadonnées de toutes les sources pour permettre à vos équipes de sécurité d’analyser un ensemble de données enrichi et plus exploitable, pour un contrôle simplifié.
Notification des violations de données
Toute violation avérée doit être signalée.
En cas de violation de données personnelles, le RGPD exige que les autorités de contrôle en soient informées, à moins que l’événement ne soit pas susceptible de présenter un risque pour les droits et libertés des personnes concernées. La notification doit entre autres mentionner les données affectées et les mesures prises pour remédier au problème.
Dans une telle situation, notre plateforme se révèle d’une aide précieuse. Par exemple, AutoFocus facilite la remédiation en fournissant des analyses détaillées qui permettent de cerner l’utilisateur touché, la menace, l’impact et le niveau de risque. Autant de renseignements utiles pour la notification.
En prime, le pare-feu nouvelle génération peut servir à sensibiliser les utilisateurs via des pages de notification personnalisées. Plus précisément, les administrateurs système peuvent ajouter sur les pages de notification un message ciblé qui s’affiche à chaque fois qu’une fuite de données accidentelle est évitée. Ce message peut par exemple inclure
un lien vers les politiques et bonnes pratiques de l’entreprise relatives aux données. Une approche idéale pour mettre à la fois l’accent sur la prévention et la sensibilisation.
- Article 4, paragraphe 1, du RGPD : « [On entend par] "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »