Protection des données Introduction au règlement Européen · des données Comment se protéger? –Les solutions Données structurées(ERP, CRM, …) Le patrimoine informationnel

VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.

Our mission is to help enterprises realize value from their unstructured data.

Protection des données – Introduction au règlement EuropéenGuillaume GARBEY, CISSP

VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.2

IntroductionQui nous sommes

Cadre de menaces & Enjeux de sécurité

Qu’est ce qu’une donnée sensible?

Présentation GDPREn bref

Qu’est ce qu’une données à caractère personnel?

Que faut il faire?

Couverture GDPR par Varonis

Principe d’approche & rétroplanning

Focus classification

Démo

Agenda

Introduction


Société VARONIS & Solutions de gouvernance de données

WW File Analysis Market

VARONIS Autres éditeurs(25)

La société:• Siège à NY (USA) / 300 développeurs• Siège Europe continentale à Paris• 1100 Collaborateurs• Présent sur les 5 continents• 5000 clients• 30 à 40 % de croissance (organique)

par an


Menaces & Enjeux de sécurité

Menaces

Phishing

Ransomware / Autre type de malware

Employé malveillant

Administrateur malveillant

Attaquant / Hacktivistes

Erreur humaine…

Exemples

Shadow IT


De quoi cherche t-on à se protéger?

Administrateur malveillant

Employé malveillant / lanceur d’alerte Hacker / Hacktivistes

Ransomware / Autre type de malware


Que cherche t-on à protéger?

Données structurées(ERP, CRM,

…)

Le patrimoine informationnel

Données non structurées (Serveurs de fichiers, SharePoint, Exchange, Cloud,…) et l’identité (Active Directory)

PHI (Personal Health Identifier)

PII (Personal Information Identifier)

PCI (Payment Card Industry)

IP(Intellectual Property)

HR, Clients, Fournisseurs, Propriétés intellectuelles, Données soumises aux réglementations, …


Alertes & Analyse

comportementale

Remédiation sans impacts

Capacité d’analyse

des données

Traçabilité & Compréhension

des usages

Contrôles d’accès

(permissions)

eDiscovery & Classification

Solutions de productivité pour les entreprises autour

des données

Comment se protéger? – Les fonctionnalités nécessaires


…)



PHI (Informations de santé)

PII (Donnés à caractère personnelles)

PCI (Données cartes bancaires / paiement)

IP(Propriété intellectuelle)



Alertes & Analyse

comportementale

Remédiation sans impacts

Capacité d’analyse

des données

Traçabilité & Compréhension

des usages

Contrôles d’accès

(permissions)

eDiscovery & Classification

Solutions de productivité pour les entreprises autour

des données

Comment se protéger? – Les solutions


…)



PHI (Informations de santé)

PII (Donnés à caractère personnelles)

PCI (Données cartes bancaires / paiement)

IP(Propriété intellectuelle)


Présentation GDPR


Rappels GDPR - en bref

Règlement Européen pour la protection des données à caractère personnelles

16 mois pour se mettre en conformité (printemps 2018!)

Les entreprises de plus de 250 salariés du secteur privé et les entités du secteur public doivent nommer un DPO (Data Privacy Officer)

Les violations et incidents doivent être notifiées dans les 72 H (A l’autorité de contrôle compétence - la CNIL en France)

Les responsables de traitement ne sont plus les seuls responsables! Attention aux sous traitants et fournisseurs!

Fini la directive 95/46/CE, les amendes pour non-conformité peuvent atteindre 4% du chiffre d’affaire mondial consolidé de l’exercice fiscal


Rappels GDPR - en bref

Reconnaissance des mécanismes de transfert à l’international ie. règles contraignantes d’entreprise ou binding corporate rules (BCR « Responsable de traitement » et « sous-traitant »)

• Ex: Dans une entreprise américaine, mon Responsable RH est aux USA mais peut être amené à traiter mes données sur le sol américain.

Renforcement du droit des personnes concernées• Droit d’accès de rectification ou d’opposition (articles 15 & 16),• Droit à l’effacement ou droit à l’oubli (article 17),• Droit à la portabilité (article 20),• Information pour la mise en œuvre des traitements.

Le règlement s’applique à toute entreprise qui traite des données à caractère personnel de citoyen Européen et qui a des filiales en Europe.


Rappels GDPR – Qu’est ce qu’une donnée à caractère personnel?

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-10-09_GDPR_with_addendum_FR.pdf

« Toute information relative à une personne physique identifiée ou qui peut être identifiée directement ou indirectement »

Nom, Prénom, Adresse (physique et mail), numéro de téléphone, lieu de naissance, numéro de sécurité sociale (Identifiant universel!!!), numéro de CB, de plaque d’immatriculation, …

… sans oublier numéro de carte grand voyageur, IMEI, badge cantine, …

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-10-09_GDPR_with_addendum_FR.pdf


Rappels GDPR – Données à caractère personnelles

Champ d’application matériel

Article 2 :

« Le présent règlement s’applique autraitement de données à caractèrepersonnel, automatisé en tout ou partie,ainsi qu’au traitement non automatisé dedonnées à caractère personnel contenuesou appelées à figurer dans un fichier. »


Menaces pertinentes, … exemples

ID menace

Menace Exemple Probabilité d’occurrence

#1 Utilisateur interne / externe curieux ayant un compte dans l’AD Un stagiaire été, qui « gratte » sur les serveurs de fichier au détour d’un moment d’oisiveté.

Haute

#2 Utilisateur non informaticien mais avec volonté de nuire Un salarié licencié qui voudrait nuire à son employeur (ex: copie des données dans un cloud public? )

Haute

#3 Utilisateur informaticien avec ou sans volonté de nuire disposant d’un compte à privilège

• Un administrateur (opérateur de compte) qui réaliserait une élévation de privilège pour accéder à des données sensibles.

• Informaticien avec un compte privilège « choppant » un cryptovirus qui s’executerait dans le contexte de son compte

Moyenne

#4 Informaticien disposant d’un compte à privilège avec volonté de nuire

Un administrateur licencié qui voudrait nuire à son employeur et ayant l’accès aux outils de monitoring pour « débrancher » les alarmes et supprimer les traces

Moyenne

#5 Attaque ciblée par un script kiddy Etudiant en sécurité informatique voulant mettre à l’épreuve la sécurité de l’entreprise

Faible

#6 Attaque ciblée par une organisation ayant du temps et de l’argent « Hacktivisme » du fait de la nature des activités (jeux / luxe / tabac / lobby / banques …)

Très Faible


Eléments redoutés / risques

Evènement redouté Menace applicable (#) Impact Probabilité d’occurrence

[Domaine externe] Fuite d’informations (divulgation interne / externe) à caractère personnel des clients (leur adresse, leur nom / prénom, …)Ex: Fuite des PII d’Orange en 2014, 10.000.000 de comptes dropbox compromis, …, Comptes Linked In piratés, …

#1, #2, #3, #4, #6 (très) Important

Financière: Sanction CNIL pouvant aller à 4% du chiffre d’affaire. Baisse des revenus,Déficit d’imageProcès du fait d’un harcèlement moral concomitant, …

Moyenne

[Domaine externe] Fuite d’informations (divulgation interne / externe) à caractère personnel des centres détaillant importants

#2, #3, #4, #6 Important

Financière: Sanction CNIL pouvant aller à 4% du chiffre d’affaire. Baisse des revenus,Déficit d’imageProcès, …

Moyenne

[Domaine interne] Salarié qui exerce son droit à l’oubli, son droit d’accès ou de rectification suite à un licenciement

#2, #4 Moyen

Le DPO devra réaliser un inventaire qui risque de s’avérer impossible à réaliser sans outillage adapté.

Moyenne

[Domaine interne] Divulgation d’éléments de rémunération (VIP / Patron, …) #1, #2, #3, #4, #6 Faible

Négociation d’augmentations, sanction CNIL en cas de procès

Moyen

[Domaine externe / interne] Fuite en nombre & Utilisation de PII à des finmalveillantesEx: vente sur le darknet des numéros de CB, Carte Vitale, ..., Passeport, CNI, …

#6 Important

Financière: Sanction CNIL pouvant aller à 4% du chiffre d’affaire. Baisse des revenus,Déficit d’imageProcès, …

Faible


Rappels GDPR – Ou sont elles?

SI RH & PAYE

CRM / Bases fournisseurs

Modules Paiement, agences de voyages, CE/DP,…

Dans mes SI métier

Serveurs de fichiers NAS

SharePoint, Messagerie, …

Cloud

Dans mes données non structurées mais sans

que j’en ai la connaissance ni la maitrise

Le VRAI enjeu est la!

On a généralement les déclarations CNIL pour ces traitements…(dans ces systèmes)


Rappels GDPR – Que faut il faire?

Le principe de Privacy Impact Assessment

https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf

Etape 1 – Délimiter le périmètre & préciser les enjeux

Etape 2 – Décrire les mesures mises en œuvre pour couvrir les risques

Etape 3 – Analyse de risques (Ebios pour ANSSI)

Etape 4 – Décision / Risques résiduels / acceptation / transfert

Il ne suffit plus de dire que l’on est conforme, il faut le prouver!


Article 25 – définit les obligations du responsable du traitementqui découlent des principes de protection des données dès laconception et de protection des données par défaut.

DA: Gestion des permissions et application du principe de moindreprivilège.

Article 30 – introduit l’obligation, pour les responsables dutraitement et les sous-traitants, de conserver une tracedocumentaire des opérations de traitement sous leurresponsabilité

DA & DCF: Ou sont mes fichiers sensible? Qui y a accès? Qui yaccède? Est ce que cela peut être archivé / supprimé?

Article 19 – confère un droit à l’oubli numérique et àl'effacement.

DCF & DTE: Trouver les données, les sanctuariser et / ou lessupprimer.

Article 32 – oblige le responsable du traitement et le sous-traitant à mettre en œuvre les mesures appropriées pour assurerla sécurité du traitement.

DA & DP: Remédiation et automatisation de l’application du principede moindre privilège avec l’aide des métiers.

Article 33 – introduit une obligation de notification des violations

de données à caractère personnel

UBA & DL: Détection des violations, fuite de données, divulgations,

et alertes.

Article 35 – introduit l’obligation, pour les responsables du

traitement et les sous-traitants, d’effectuer une analyse d’impact

relative à la protection des données préalablement aux

traitements présentant des risques.

DA & DCF: Data Risk Assessment!

Couverture GDPR par les solutions VARONIS


Rétro planning pour la mise en conformité

VARONIS – Domaine données non structurées


Principe d’approche

Calqué sur le plan de protection de l’information

Itératif (dans l’analyse & dans la remédiation)

Par périmètre prioritaires avec une approche pilotée par les risques (PIA)1. Les périmètres contenant des données

sensibles accessibles par « tout le monde »

2. Les périmètres contenant des données sensibles accessibles à « trop de monde »

3. Les autres périmètres

Démarche générale

Approche pragmatique, s’adapter à la nature et au métier de l’entreprise• Il n’est pas anormal que l’INSE fasse une étude statistique sur les numéro de sécurité sociale• Il n’est pas anormal d’avoir des données RH dans son SI RH, mais il est anormal d’en avoir une copie sur un NAS…


Zoom sur les solutions

SOCInvestigation / Forensic / Avec DatAdvantage

Utilisateur malveillant / Malware

Utilisateur

Propriétaire de données

T:

T:

T:

Active Directory

DatAdvantageData Classification

• Gestion des permissions• Traçabilité sur tous les

environnements• Propriétaires de données• Sensibilité de

l’information

Framework de meta data

Filer (NAS / Win)

RSSI / CISODL DashBoard

DatAlert Suite

DatAdvantage

Data Privilege

SelfService / demande de droits

Revues de droits

DatAlert

DatAlertAnalytics (UBA)

Alert – permission opened on critical data!

UBA – Abnormal Behavior Access to Stale Data

IT/ Infrastructure / cellule habilitations

Gouvernance données / Remédiation / Analyse d’impacts / Gestion des

permissions

Permissions

Traces & Logs

Analyse des menaces avec Dashboard et modèles de menaces

Pilotage de la sécurité & Conformité

Sensibilité information


Plan de protection de l’information

Inventaire des permissions

Identifiez les données sensibles (ex à caractère personnelles)

Traçabilité alertes temps réel et comportementales

Découvrir & Comprendre Guérir & Prévenir

Sécuriser les données / réduire l’exposition au risque

Corriger les anomalies techniques (filer / annuaire)

Impliquer le métier pour les revues de droit

Pérenniser

Monitoring continu & analyse des déviances

Workflow & révocation automatique des droits

Automatisation des revues de droit


Avec VARONIS – Les solutions

Découvrir & Comprendre

Pérenniser

Suite

Guérir & Prévenir


Data Classification Framework (DCF)

est un module de DatAdvantage

(DA):Il enrichit le framework de meta-

données de DA avec la classification de

l’information

DCF propose un moteur d’indexation de

contenu afin de pouvoir classifier

l’information sur la base des méta-data

propres au fichier ou de son contenu.

DCF propose des règles de

classifications préétablies et donne la

possibilité d’en créer de nouvelles pour

s’adapter au contexte / pays / besoins…

Focus Classification – découverte des données à caractère personnelles

SharePoint / One drive


Une règle est une combinaison de plusieurs critères parmi deux ensembles:Des reGex (expressions régulières)

Des dictionnaires thématiques

Focus Classification – découverte des données à caractère personnelles


DCF vient dont enrichir le framework de meta-data de Varonis avec la

sensibilité de l’information (découverte / protection)

DCF est également capable d’aller récupérer les informations de classification

depuis une solution tierce

En disposant dans un seul entrepôt de données (méta data) et d’un moteur

d’audit et de remédiation central c’est l’assurance de pouvoir adresser le GDPR

pour les données non structurées, et la protection du patrimoine informationnel

au sens large.

Focus Classification – proposition de valeur


Sur demande ([email protected])Varonis_Flyer_EU_GDPR_French_Flyer_061516_RGB.pdfVaronis_Whitepaper_EU_General_Data_Protection_FR.pdf2_GT33_Présentation CNIL CESIN-Reglement.pdfMathias Avocats- Livre Blanc Règlement Données personnelles - Avril 2016.pdf

Références:http://www.globalsecuritymag.fr/GDPR-Une-legislation-peu-connue,20150119,50078.htmlhttps://en.wikipedia.org/wiki/General_Data_Protection_Regulationhttp://ec.europa.eu/justice/data-protection/index_en.htmhttp://ec.europa.eu/justice/data-protection/reform/index_en.htmhttp://www.allenovery.com/SiteCollectionDocuments/Radical%20changes%20to%20European%20data%20protection%20legislation.pdf

Littérature & références

http://www.globalsecuritymag.fr/GDPR-Une-legislation-peu-connue,20150119,50078.html

https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

http://ec.europa.eu/justice/data-protection/index_en.htm

http://ec.europa.eu/justice/data-protection/reform/index_en.htm

http://www.allenovery.com/SiteCollectionDocuments/Radical changes to European data protection legislation.pdf


Exemples - démo


Exemples - démo


Exemples - démo


Exemples - démo


Demo


Leader technologique sur le marché de la sécurité et l’analyse des données avec 60% de parts de marché selon le Gartner

Plus de 10 ans d’expérience dans la protection des données de plus de 5000 clients dans le monde,

Les très grandes entreprises avec de grands déploiements font confiance à varonis dans tous les domaines (banque, assurance, commerce de détail, énergie, fabrication, luxe ...). Nous pouvons prouver que notre solution s'adapte aux grands comptes et nous pouvons démontrer que notre solution est très évolutive dans des environnements hautement distribués.

APPROCHE SIMPLE ET PRAGMATIQUE POUR REDUIRE LES RISQUES ET PROTEGER VOS DONNEES AVEC UNE PLATE-FORME INTEGREE DE SÉCURITÉ DES DONNÉES.

Pourquoi VARONIS?

VARONIS SYSTEMS. PROPRIETARY & CONFIDENTIAL.

Thank YouGuillaume GARBEY – Senior consultant & Customer Success Manager

CISSP, ISO27001 LA, ITIL V3

[email protected]

+33 6 21 16 57 47