Upload
sebastien-paulet
View
249
Download
2
Embed Size (px)
Citation preview
aOS Luxembourg4 décembre 2017
RGPD : Comment O365 permet de répondre à la nouvelle réglementationSébastien PAULET
SP_twit
aOS Luxembourg4 décembre 2017
Agenda
GDPR IS COMING
25 MAI 2018
aOS Luxembourg4 décembre 2017
Données personnelles
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
aOS Luxembourg4 décembre 2017
Sources de contenus dans O365
OneDrive Groups
Teams YammerPlanner
SHAREPOINT EXCHANGE
aOS Luxembourg4 décembre 2017
Speaker presentation
France
Enterprise Solutions
Architect
SPT Conseil
Speaker on
#DMS, #Archiving,
#SharePoint,
#Scrum, #Lean,
#Ergonomy
@SP_twit
Bloghttps://sppublish.wordpress.com
aOS Luxembourg4 décembre 2017
Cloud – Microsoft sous-traitant de vos données
aOS Luxembourg4 décembre 2017
Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
aOS Luxembourg4 décembre 2017
Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les Conditions du GDPR à compter du 25 mai 2018. " + une annexe dédiée
• Revu et approuvé par le G29
aOS Luxembourg4 décembre 2017
Vos obligations
aOS Luxembourg4 décembre 2017
Obligation du responsable des traitementsArticle 5 - les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).
TRANSPARENCE
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités […]; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données);
FINALITE
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude);
MAJ / EXPORT / SUPPRESSION
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées[…];
DUREE DE RETENTION
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité);
SECURITE
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence
aOS Luxembourg4 décembre 2017
Vos obligations - TRANSPARENCE
aOS Luxembourg4 décembre 2017
Transparence
• New! : Disclamer pour les utilisateurs extérieurs
• New! : Multi geocapability
• New! : Yammer et les index du moteur de recherche seront eux aussi geo localisés.
• New! : Data center FR Q2 2018
aOS Luxembourg4 décembre 2017
Vos obligations - FINALITE
aOS Luxembourg4 décembre 2017
Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements
aOS Luxembourg4 décembre 2017
Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
aOS Luxembourg4 décembre 2017
Classer – mise en place d’une politique de gouvernance• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• New! : nouvelle centrale d’administration SharePoint online avec possibilité d’ajouter des colonnes sur la liste des collections de sites
aOS Luxembourg4 décembre 2017
Classer – Plan de classement SharePoint• Les documents sont la trace d’un process métier
-> Le plan de classement est le reflet de l’organisation du process métier
aOS Luxembourg4 décembre 2017
Classer – Plan de classement SharePoint
• Les premiers niveaux « invariants » sont des sous sites ou des bibliothèques.
• Les classements sur des process mûrs se font avec des métadonnées
• Pour les « cases management », pensez aux documents sets
• Pour les process moins formels, dossiers/sous dossiers
aOS Luxembourg4 décembre 2017
Classification transverse – Labels / Etiquettes• Définissez « Typologie » de contenus transverse à l’entreprise.
• 1 seule par contenu
• Gestion : « Sécurité et conformité »> « Classifications » > « Etiquettes » > … >« Publier les étiquettes »
• Peut être appliquée manuellement par l’utilisateur final depuis les programmes clientsou les interfaces web
• Rapport disponibles
aOS Luxembourg4 décembre 2017
Détecter – Labels / Etiquettes automatiques• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, and OneDrive for Business.
• Gestion : « Sécurité et conformité »> « Classifications » > « Stratégies d’étiquettes » > « Appliquer automatiquement une étiquette »
aOS Luxembourg4 décembre 2017
Détecter – Protection contre la perte des données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter lors de l’accès ou du partage
• Rapports disponibles
aOS Luxembourg4 décembre 2017
Vos obligations - RETENTION
aOS Luxembourg4 décembre 2017
Records Management - Retentionpolicies• Durée de rétention par bibliothèque ou par content type ou par
étiquette dans SharePoint
• Formule : « XX année/mois/semaine/jours après [métadonnées] » alors supprimer/déclarer comme enregistrement
• New! : Arrivée annoncée de rétentions basées sur événements
aOS Luxembourg4 décembre 2017
Vos obligations -MAJ/EXPORT/SUPPRESSION
aOS Luxembourg4 décembre 2017
eDiscovery
• Recherche cross boites mails/OneDrives/SharePoints
• Possibilité :• D’exporter• Geler• Suspendre les périodes
de rétention
• New! : eDiscovery sur messages Yammer
aOS Luxembourg4 décembre 2017
Vos obligations - SECURITE
aOS Luxembourg4 décembre 2017
Gestion des menaces
aOS Luxembourg4 décembre 2017
AUDIT
aOS Luxembourg4 décembre 2017
IRM
• New! : arrivée d’IRM sur O365 (déjà dispo en onPrem)
• Faire porter les permissions définies au niveau de SharePoint sur le document oud’Exchange sur le mail.
• Système de clef publique/clef privé et un encryptage des documents à la volée (chiffrement AES avec clefs 128 et 256 bits pour les documents)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
aOS Luxembourg4 décembre 2017
SECURITY SCORE
• Bonnes pratiques pour sécuriser votre tenant.
• Accessible sur https://securescore.office.com/
aOS Luxembourg4 décembre 2017
Au delà – Obligation d’assistance
aOS Luxembourg4 décembre 2017
COMPLIANCE MANAGER
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions faites par Microsoft
• Critères et actions à faire coté client
• Informations à saisir directement, gestion des tâches, mini workflow
• New! : En beta, disponibilité générale Q1 2018.
https://servicetrust.microsoft.com/ComplianceManager
aOS Luxembourg4 décembre 2017
Conclusion
aOS Luxembourg4 décembre 2017
Conclusion…
• Nombreux outils déjà présents ou à venir pour répondre à la réglementation
• Tout ne reposera pas sur le sous traitant
• Critère fort de différentiation avec la concurrence pour Microsoft
• Concerne aussi Azure et SQL
• N’oubliez pas le facteur humain…
aOS Luxembourg4 décembre 2017
Merci à notre sponsor !