Plateforme de sécurité nouvelle génération : maillon essentiel de la conformité au RGPD

POURQUOI LA PLATEFORME PALO ALTO NETWORKS S’IMPOSE COMME UN LEVIER STRATÉGIQUE DE LA CONFORMITÉ AU RGPD

Que ce soit pour la protection des données personnelles ou le respect du RGPD, la cybersécurité s’élève désormais au rang des investissements essentiels.

Le RGPD porte principalement sur la gestion des données, et plus précisément sur leur collecte et leur traitement. Ses exigences sont diverses : notification obligatoire de la collecte des données personnelles, interdiction du traitement des données sans consentement, conservation obligatoire des enregistrements liés au traitement des données, nomination obligatoire d’un responsable de la protection des données dans certains cas, règles concernant le transfert de données personnelles à des tiers et des pays tiers, etc.

 

Mais cela ne doit pas occulter le fait que la sécurité des données  est également l’un des piliers du RGPD – qui adopte une terminologie spécifique en la matière,  comme nous l’expliquons en détail ci-dessous. Autre point à ne pas négliger, la protection des données personnelles passe par leur  sécurisation, à la fois  contre toute tentative d’exfiltration par un cybercriminel et contre les fuites internes. Ainsi, pour se préparer au RGPD, les organisations ne peuvent se contenter d’investir dans la mise en conformité  et les processus et technologies de gestion de l’information : il leur faut aussi prendre à bras-le-corps les problématiques de cybersécurité.

 

Synthèse des différents articles du RGPD (le texte intégral du RGPD est disponible ici)  :

 

Thème

Synthèse des articles

Sécurité du traitement des données

 

Les organisations doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité des données  adapté au risque. Ces mesures doivent tenir compte de l’état actuel des connaissances. [Article 32]

Les données à caractère personnel devraient être traitées de manière à garantir une sécurité et une confidentialité appropriées, y compris pour prévenir l’accès non autorisé à ces données et à l’équipement utilisé pour leur traitement  ainsi que l’utilisation non autorisée de ces données et de cet équipement. [Considérant, paragraphe 39]

Dans le cadre de l’évaluation des risques  pour la sécurité des données, il convient de prendre en compte les risques que présente
le traitement de données à caractère personnel, tels que la destruction, la perte ou l’altération, la divulgation non autorisée de données à caractère personnel ou l’accès non autorisé  à de telles données, de manière accidentelle ou illicite. [Considérant, paragraphe 83]

 

Notification des violations de données

----------------------------------------------------------------------------------------------

Les autorités de contrôle doivent être informées  en cas de perte, de vol ou de compromission de données à caractère personnel,  à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour la personne concernée. La notification doit avoir lieu dans les meilleurs délais  et, si possible, 72 heures au plus tard  après en avoir pris  connaissance.  Dans certains  cas, les personnes concernées doivent être informées.  Les notifications doivent décrire diverses  informations sur la violation,  telles que sa nature, les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés, les mesures prises  pour remédier à la violation et en atténuer les éventuelles conséquences négatives  ainsi que d’autres éléments. [Articles 33 et 34]

Amendes administratives

----------------------------------------------------------------------------------------------

Les autorités de contrôle doivent sanctionner les infractions au RGPD en imposant  des amendes administratives au cas par cas. Pour  décider s’il y a lieu d’imposer  une amende administrative et pour décider du montant de l’amende administrative, les autorités sont invitées à prendre en considération de nombreux facteurs,  notamment le degré de responsabilité compte tenu des mesures techniques et organisationnelles mises en œuvre en fonction de l’état actuel des connaissances, conformément à l’article 32. [Article 83]
---------------------------------------------------------------------------------------------

 

 

Palo Alto Networks® accompagne les organisations dans leurs initiatives de sécurité et de protection des données  en rapport avec le RGPD. Une action concrète qui intervient  à divers niveaux :

 1. Sécurisation des données personnelles. Le RGPD exige de garantir la sécurité du traitement des données, en tenant compte de l’état actuel des connaissances. Une mission que remplit parfaitement notre plateforme de sécurité nouvelle génération en assurant la sécurité à l’échelle des applications, du réseau, des terminaux et du cloud.

 2. Prévention des violations de données. La prévention des violations de données – qu’elles résultent d’un piratage ou d’une fuite accidentelle – est cruciale pour la conformité au RGPD. Dans ces conditions, la protection des données personnelles et applications critiques de votre entreprise exige une cybersécurité à toute épreuve. Là encore, notre plateforme de sécurité nouvelle génération est conçue pour la prévention.

3. Notification des violations de données. Toute violation avérée  doit être signalée. À cette fin, notre plateforme de sécurité nouvelle génération  vous aide à identifier les données personnelles compromises et à détailler les mesures prises  pour la remédiation.

 

De nombreux produits  de notre portefeuille  sont taillés pour répondre à ces impératifs. Nous vous les présentons plus en détail ci-après.

 Sécurisation des données personnelles

À l’heure où le RGPD exige de garantir la sécurité du traitement des données en tenant compte de l’état actuel des connaissances, la plateforme Palo Alto Networks sécurise les données à l’échelle des applications, du réseau, des terminaux et du cloud.

 Pour véritablement réduire  les cyber-risques et sécuriser les données, notamment personnelles, il est indispensable de mettre en place des contrôles intégrés, automatisés et efficaces. L’objectif : détecter et prévenir les menaces connues et inconnues à chaque étape  du cycle de vie d’une attaque. Pensée  pour la prévention, la

plateforme de sécurité nouvelle génération de Palo Alto Networks donne les moyens aux entreprises d’adopter en toute confiance une stratégie digital-first alignée sur leurs initiatives technologiques clés dans le cloud et, de plus en plus, sur les réseaux mobiles. L’idéal pour protéger les données critiques contre toute tentative d’exfiltration par un cybercriminel et contre les fuites accidentelles.

 En pratique, notre plateforme combine sécurité des réseaux et  des terminaux et Threat Intelligence.  Ainsi, elle ne se contente pas de repérer les cyberattaques : elle les bloquent en amont de façon automatisée.  Pour cela, elle réunit tous les incontournables  de la sécurité (pare-feu, filtrage des URL, IDS/IPS,  protection avancée des terminaux, prévention avancée des menaces, etc.), et met en commun les informations stratégiques fournies par ces différentes fonctionnalités. Une intégration native sans pareille  pour la prévention des cybermenaces,  qui permet à notre plateforme de surpasser  les pare-feu, antivirus et produits spécialisés de détection des menaces  d’ancienne génération. Autrement dit,  une meilleure sécurité  favorise une meilleure protection des données.


 Technologie de pointe

 Le RGPD impose des mesures de sécurité techniques et organisationnelles qui tiennent compte de l’état actuel des connaissances. Face à cette exigence, la mosaïque de solutions spécialisées qui compose les systèmes de sécurité traditionnels n’est pas de taille face à des cyberattaques de plus en plus nombreuses, automatisées et sophistiquées. D’où la nécessité pour les RSSI de passer attentivement en revue leurs outils existants afin d’évaluer s’ils sont ou non à la hauteur.

Le champ des menaces évoluant constamment, la technologie doit suivre le rythme et s’adapter. C’est pourquoi la plateforme de sécurité nouvelle génération de Palo Alto Networks combine sécurité des réseaux et des terminaux et Threat Intelligence. Ainsi, elle ne se contente pas de repérer les cyberattaques : elle les bloque en amont de façon automatisée. Et contrairement aux produits spécialisés d’ancienne génération, elle s’appuie sur la force collective de milliers de clients, partenaires technologiques et chercheurs qui mettent en commun leurs données CTI. Résultat, notre technologie neutralise les attaques sur les points stratégiques et tactiques visés par les attaquants.  Côté protection, il nous suffit de cinq minutes pour fournir à nos clients des protections adaptées aux dernières menaces observées. Ainsi, nous développons plus d’un million de nouvelles mesures préventives chaque semaine, à mesure que nous identifions de nouvelles menaces zero-day. Grâce à notre plateforme, les entreprises bénéficient d’un triple avantage :  elles peuvent utiliser en toute sécurité leurs applications critiques, piloter sereinement leurs nouveaux projets technologiques et contrer les cyberattaques les plus simples comme les plus sophistiquées. Pour les RSSI qui souhaitent toujours garder une longueur d’avance, Palo Alto Networks s’impose donc comme une évidence.

 

Conformité au RGPD

Prévention des violations de données

La prévention des violations de données – qu’elles résultent d’un piratage ou d’une fuite accidentelle – est cruciale pour la conformité au RGPD. Dans ces conditions, la protection des données personnelles et applications critiques de votre entreprise exige une cybersécurité à toute épreuve.

 Notre plateforme s’articule autour de quatre piliers préventifs qui garantissent à la fois la sécurité des données et la conformité au RGPD.

  • Visibilité totale. Puisqu’on ne peut sécuriser que ce que l’on voit, notre plateforme assure une visibilité complète sur l’ensemble du trafic à l’échelle du réseau, des terminaux et du cloud – avec une classification par application, utilisateur et contenu. Les entreprises disposent ainsi de tout le  contexte nécessaire pour appliquer  des politiques de sécurité dynamiques.
  • Réduction de la surface d’attaque. Face à la multiplication des applications et appareils au sein des entreprises (par exemple, SaaS, cloud et IoT), la surface d’attaque s’étend rapidement, ouvrant la voie à de nouveaux risques d’infiltration. Une aubaine pour les cybercriminels qui n’ont qu’à s’engouffrer dans la brèche pour exfiltrer des données personnelles. Notre parade : un modèle de sécurité positive  qui réduit  la surface d’attaque  en ne laissant passer que les applications autorisées pour les utilisateurs autorisés  (et en bloquant tout le reste).
  • Prévention des menaces connues. Chevaux de Troie permettant de dérober des informations, malwares, exploits…  bon nombre de violations de données résultent de menaces connues. Sur le périmètre, notre plateforme  contrôle les vecteurs d’attaque grâce à la gestion granulaire de tous les types  d’applications. L’intérêt est double : réduire immédiatement la surface d’attaque  du réseau, puis ensuite analyser l’ensemble du trafic en vue de débusquer les exploits, malwares, URL malveillantes et fichiers ou contenus dangereux ou restreints. En parallèle, nous combinons la CTI collective de nos clients aux quatre coins du globe avec notre approche unique  de prévention multi-technique pour bloquer  les malwares et exploits connus  avant qu’ils ne compromettent les terminaux.
  • Prévention des menaces inconnues. Notre plateforme est capable d’identifier et de bloquer de manière proactive les malwares et exploits  inconnus, souvent  utilisés dans les attaques sophistiquées et ciblées.  Concrètement, lorsqu’un  nouveau malware  ou exploit est détecté, le service cloud d’analyse des menaces Wildfire® crée automatiquement  un nouveau contrôle  qu’il partage avec vos dispositifs de prévention  (par exemple, pare-feu nouvelle génération et service Traps™ Advanced Endpoint Protection) –  souvent en cinq minutes à peine et  sans intervention humaine. De même,  Traps s’appuie sur  une approche multi-technique unique pour contrer les principales techniques employées par les exploits zero-day,  et identifier puis bloquer les malwares inconnus  avant qu’ils ne puissent compromettre les terminaux.

 Et pour éviter les problèmes liés au transfert et à la confidentialité des données, Wildfire EU, un service cloud situé au sein de l’UE, permet d’analyser les données sans les transférer dans une autre région.

Ces techniques de prévention sont appliquées par WildFire, le moteur de prévention et d’analyse des exploits et malwares zero-day le plus pointu du marché. Ce service cloud adopte une approche multi-technique pour détecter et neutraliser les menaces les plus furtives. Il agit pour cela sur plusieurs tableaux : analyses dynamiques et statiques, techniques innovantes de machine learning et environnement d’analyse bare-metal révolutionnaire. Et comme les approches traditionnelles sont par essence limitées, WildFire exploite les synergies de quatre techniques complémentaires pour neutraliser les menaces inconnues tentant de contourner les systèmes de sécurité en place :

 

  • Analyse dynamique : permet d’observer et de détoner les fichiers dans un environnement virtuel sur mesure, résistant aux tentatives de contournement. Des malwares zero-day peuvent ainsi être détectés à l’aide de centaines de caractéristiques comportementales.
  • Analyse statique : détecte efficacement les malwares et exploits qui tentent d’échapper à l’analyse dynamique, et identifie instantanément  les variants de malwares existants. 
  • Machine learning : extrait des milliers de caractéristiques uniques de chaque fichier pour entraîner un modèle ML prédictif et identifier de nouveaux malwares et exploits – ce qui est impossible  avec une simple analyse statique ou dynamique.

 

  • Analyse bare-metal : envoie automatiquement les menaces furtives vers un environnement matériel réel où elles sont détonées, empêchant ainsi les hackers  de déployer des techniques d’analyse anti-VM. 

La combinaison de ces fonctionnalités permet à WildFire de repérer et  de prévenir les malwares  et exploits inconnus avec une efficacité élevée – et quasiment sans faux positifs.

 

Gestion centralisée des processus de sécurité

Le RGPD s’applique à toute organisation qui traite des données personnelles concernant des résidents de l’UE, et ce, où qu’elle se trouve. Lorsque le traitement de ces données est effectué sur plusieurs sites (ce qui est souvent le cas dans les grandes entreprises et multinationales), chacun d’eux est tenu de respecter la règlementation. C’est là que la solution de gestion de la sécurité réseau Panorama™ intervient pour simplifier la création et la gestion de politiques de sécurité consolidées et faciles à appliquer pour nos pare-feu nouvelle génération. Vous êtes ainsi à même d’implémenter à la fois une politique centralisée et des politiques régionales spécifiques, et de déléguer facilement certaines tâches à des administrateurs régionaux selon vos besoins ou vos préférences. Autrement dit, vous disposez de la flexibilité nécessaire pour mettre en œuvre des politiques en fonction de vos besoins métiers et des lois régionales en vigueur. Par exemple, un administrateur Panorama peut appliquer des politiques de sécurité pour les pare-feu situés dans une filiale  à Singapour ou au Brésil, même si les administrateurs régionaux de ce site n’ont pas connaissance des obligations de protection des données  liées au RGPD.

 

Prévention des exfiltrations et fuites de données

Les violations de données peuvent résulter d’une exfiltration ou d’une fuite de données, deux problématiques que notre plateforme permet de résoudre.

Grâce à notre plateforme de sécurité nouvelle génération, chaque étape clé  du cycle de vie de l’attaque  se heurte à un modèle de défense qui empêche l’exfiltration des données. Et cela vaut pour toutes les étapes : tentative initiale  d’infiltration du périmètre, propagation de malwares,  exploitation de la vulnérabilité  d’un terminal, déplacements latéraux au sein du réseau pour atteindre la cible ultime, ou encore tentative d’exfiltration de données personnelles et sensibles.

 Pour garantir la  conformité au RGPD, il est également capital d’empêcher la fuite et le partage accidentels de données par vos communautés d’utilisateurs, en interne comme en externe – et ce, à l’échelle de toute l’infrastructure. Car les utilisateurs représentent le risque le plus courant, surtout lorsqu’ils  utilisent des applications SaaS. Souvent mal formés et inconscients du danger, leur imprudence favorise les fuites accidentelles de données personnelles. Notre  plateforme  de sécurité aborde ce problème de front en agissant à plusieurs niveaux :

  • Sécurité au niveau du réseau. Pour protéger les données de votre entreprise, des profils intégrés de filtrage des données sur le pare-feu nouvelle génération empêchent les fuites accidentelles au niveau de la couche réseau. Vos administrateurs système peuvent appliquer des politiques d’inspection et de contrôle des contenus qui traversent votre réseau afin de limiter les transferts non autorisés de données sensibles (numéros de carte bancaire, etc.).
  • Sécurité au niveau des applications SaaS. Les entreprises doivent pouvoir contrôler l’accès à leurs applications SaaS  et le respect de leur politique de partage de l’information pour mieux stopper les fuites de données.

    • Les organisations opérant en Europe peuvent sélectionner le data center Prisma™ SaaS  européen pour respecter leurs obligations en matière de résidence des données.

◦   Pour répondre à ces besoins, notre plateforme s’appuie sur notre pare-feu nouvelle génération (avec par exemple les technologies User-ID™, App-ID™ et Content-ID™) ainsi que le service de sécurité Prisma™ SaaS. Concrètement, le pare-feu nouvelle génération analyse tout le trafic entre votre réseau et les applications SaaS. Seul bémol, les services de sécurité in-line  ne parviennent pas toujours à détecter certaines activités dans le cloud, comme les autorisations de partage de données et l’accès aux données du cloud à partir d’un emplacement hors réseau (sans VPN). Dans ce cas de figure, Prisma SaaS vient au renfort de votre pare-feu nouvelle génération en utilisant des API SaaS afin de se connecter directement aux applications SaaS. Résultat : une visibilité complète sur les activités de chargement et de partage de vos utilisateurs. Prisma SaaS vous permet ainsi d’afficher et de surveiller les chargements de fichiers sur toutes les ressources de vos applications SaaS comme Box, Microsoft® Office, Dropbox®, Salesforce®, Secure Data Space, etc. Vous pouvez également appliquer des politiques pour imposer et garantir une utilisation responsable de vos ressources (y compris vos données personnelles) et pour vous prémunir contre les fuites de données accidentelles causées par des erreurs humaines, comme le partage involontaire ou incohérent d’informations et l’échange de contenus via des liens potentiellement exposés à Internet. Dans les faits, la détection d’une violation de politique provoque le déclenchement d’une alerte. Si votre configuration l’y autorise, Prisma SaaS prend alors des mesures automatiques afin d’éliminer le risque.

  • Sécurité au niveau du terminal. Traps Advanced Endpoint Protection s’appuie sur une approche multi-technique de prévention des compromissions de terminaux par des menaces connues et inconnues, y compris les exploits zero-day et les nouveaux malwares.
  • Lutte contre le vol d’identifiants. Les identifiants et mots de passe volés représentent un vecteur d’attaque courant. En effet, les cybercriminels parviennent sans grand mal à subtiliser ces informations afin d’obtenir le niveau d’accès désiré.

 

◦   Notre plateforme  intègre  des fonctionnalités qui neutralisent les menaces exploitant des identifiants volés tout au long du  cycle de ces  attaques.

Souvent,  les cybercriminels misent sur le phishing, par e-mail ou via les réseaux sociaux, pour inciter les utilisateurs à saisir leurs identifiants et mots de passe professionnels. Notre plateforme  empêche  les utilisateurs de partager  leurs informations  avec des sites inconnus et non autorisés, ce qui prévient les fuites d’identifiants et de mots de passe. Et parce que les identifiants volés servent généralement  à accéder  aux systèmes critiques d’une entreprise, nous vous protégeons également contre  la propagation latérale des menaces. Pour cela, nous appliquons des  politiques d’authentification multifacteur (MFA)  à vos applications critiques qui  contiennent des données sensibles.

Mieux encore, notre service de Threat Intelligence contextualisée  AutoFocus™ intègre des sources CTI externes  dont elle partage les éclairages à travers notre  plateforme de sécurité,  via notre application  MineMeld™. Une fois les indicateurs de compromission collectés, MineMeld  filtre, élimine les doublons et consolide les métadonnées de  toutes les sources pour permettre à vos  équipes de sécurité d’analyser  un ensemble de données enrichi et plus exploitable, pour un contrôle simplifié.

Notification des violations de données

Toute violation avérée doit être signalée.

En cas de violation de données personnelles,  le RGPD exige que les autorités de contrôle en soient informées, à moins que l’événement ne soit pas susceptible de présenter un risque pour les droits et libertés des personnes concernées. La notification doit entre autres mentionner les données affectées et les mesures  prises pour remédier au problème. 

Dans une telle situation, notre plateforme  se révèle  d’une aide précieuse.  Par exemple, AutoFocus facilite la remédiation en fournissant  des analyses détaillées  qui permettent de cerner l’utilisateur touché, la menace, l’impact et le niveau de risque. Autant de renseignements utiles pour la notification.

En prime,  le pare-feu nouvelle génération peut servir à sensibiliser les utilisateurs via des pages de notification personnalisées. Plus précisément, les administrateurs système peuvent ajouter sur les pages de notification un message ciblé  qui s’affiche à chaque fois qu’une fuite de données accidentelle est évitée. Ce message peut par exemple inclure

un lien vers les politiques et bonnes pratiques de l’entreprise  relatives aux données. Une approche idéale pour mettre à la fois l’accent sur la prévention  et la sensibilisation.

 

  1.  Article 4, paragraphe 1, du RGPD : « [On entend par] "données à caractère personnel", toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée") ; est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée,  directement ou indirectement, notamment par référence à un identifiant, tel  qu’un nom, un numéro d’identification,  des données  de localisation, un identifiant en ligne,  ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »