Le Canada prépare sa propre version du RGPD, et ce sera bientôt le cas dans le monde entier

janvier 10, 2022 Sécurité et conformité, MOVEit

Le monde entier, semble-t-il, s'inspire du RGPD européen : la Californie, par exemple, élabore sa propre loi relative à la protection des consommateurs (CCPA). Cette posture n'est pas l'apanage des États-Unis, puisque d'autres pays, tels que le Brésil et l’Australie, ont désormais leur propre dérivé de notre RGPD européen.

Le Canada est le dernier arrivé sur la voie du RGPD et a rédigé une loi relative à la protection des consommateurs : le CPPA. Le Canada est en train de peaufiner et de promulguer définitivement cette loi, laquelle est en bonne voie malgré l'absence d'une approbation claire ou d'échéance de mise en application.

Plutôt que de s'interroger sur ce qu'est le CPPA canadien (nous y reviendrons plus tard), nous voulons surtout insister sur le fait que, quel que soit l'endroit où vous exercez vos activités, le RGPD, ou toute autre législation afférente à la protection des données, vous concerne et concerne votre entreprise : autant vous y préparer sans attendre. Bien que le RGPD soit une législation européenne, toute entité qui y fait des affaires doit s'y conformer.

Un bref aperçu du CPPA (Consumer Privacy Protection Act)  – Le point de vue canadien

Le CPPA (du moins au Canada) est étroitement aligné sur le RGPD, à quelques nuances près, dont des sanctions plus sévères - jusqu'à 5 % du chiffre d'affaires annuel d'une entreprise, contre 4 % pour le RGPD.

Parmi ses autres points forts, citons:

  • Un mandat selon lequel les entreprises doivent mettre en œuvre des programmes de gestion de la vie privée pour aider à assurer la conformité, comme la mise à jour des politiques et des procédures de conformité et de sécurité, et la formation des employés. Cela implique également une amélioration de la sécurité.
  • Les entreprises et les particuliers peuvent engager des actions privées contre ceux qui ne respectent pas le CPPA.

Tenez-vous prêt pour le RGPD en sécurisant vos fichiers - et en vous conformant à la réglementation

Le RGPD et les règlements de ce type sont axés sur la protection des données et le respect de la vie privé.

La plupart des données sensibles se trouvent au sein d'innombrables fichiers - des fichiers transmis par une multitude de moyens peu sûrs comme le courrier électronique.  Chaque fichier envoyé par courrier électronique ou par un service de partage de fichiers qui n'est pas équipé d'un système de cryptage et qui n'est pas en mesure de savoir à qui il a été envoyé et s'il est arrivé, constitue une violation potentielle - et une violation possible de la réglementation. En d'autres termes, c'est un problème qui risque de se produire.

Par défaut, tous les fichiers envoyés à l'extérieur de l'entreprise doivent être traités de manière sécurisée et traçable.

Pas de conformité sans logging

Le RGPD et autres réglementations similaires exigent que les dossiers des principales activités soient conservés. Il y a deux raisons à cela. D'abord, en cas de violation ou d'incident de sécurité, votre service informatique a besoin de registres et d'une piste d'audit pour effectuer des vérifications.

Les auditeurs de conformité recherchent les mêmes informations. Si une violation déclenche l'intervention de ces auditeurs, ils veulent comprendre ce qui s'est passé et comment votre environnement peut être configuré pour que cela ne se reproduise pas.

Les fichiers contiennent une grande partie de vos données sensibles, et les transferts de fichiers sont souvent à l'origine des problèmes de conformité. Si un transfert de fichiers défectueux ou non sécurisé déclenche l'alarme réglementaire, vous devez consigner exactement combien de fichiers ont été transférés et à qui ils ont été transmis. Plus important encore, une approche appropriée du transfert de fichiers sécurisé tiendra les régulateurs à distance, car ces fichiers ne seront tout simplement pas violés, et leurs données ne fuiront pas. La capacité d'auditer et d'archiver les informations relatives à ces transferts est essentielle pour la sécurité informatique.

Les transferts de fichiers externes posent un risque réglementaire

Votre entreprise doit communiquer avec le monde extérieur, notamment en envoyant des informations essentielles sous forme de fichiers à des entités externes. Si ces fichiers peuvent être interceptés par des cybercriminels, ils sont également soumis à d'autres formes d'accès non autorisés ou à une simple mauvaise manipulation de la part de l'utilisateur final, permettant ainsi à ceux qui ne devraient pas les voir de les consulter.

En fait, vous ne protégez pas seulement vos fichiers contre les criminels, mais aussi contre les erreurs et les fautes. Une enquête menée auprès de 255 professionnels de l'informatique a montré que seulement 27 % des violations de données résultent d'un « comportement malveillant ». Une proportion ahurissante de 46 % de toutes les violations de données est due à des « défaillances de processus ou de réseau ».

De nombreuses entreprises tentent de sécuriser les transferts de données externes en créant des politiques qui avertissent les utilisateurs finaux des dangers ou en utilisant des solutions de partage de fichiers qu'elles croient sûres. Aucune de ces trois solutions ne présente la sécurité exigée par les réglementations de type RGPD. La meilleure option est une solution de transfert de fichiers sécurisé telle que MOVEit par Progress.

Ces réglementations exigent certes le respect absolu des exigences de conformité, mais aussi que vos équipes informatiques soient capables d'en fournir les preuves. C'est précisément le pouvoir que vous conférera MOVEit, qui suit toutes les activités de transfert de fichiers, y compris les actions d'authentification, au sein d'une base de données archivable.

Trucs et astuces sur la conformité des fichiers

Les réglementations sur la confidentialité des données exigent généralement ce à quoi le RGPD fait référence, à savoir un « traitement équitable, légal et transparent », et exige en outre la non-répudiation, un aspect essentiel du CPPA qui exige que les entreprises vérifient que les données personnelles ne sont transmises que par des expéditeurs autorisés à des récepteurs autorisés.

Cela nécessite un système central avec des contrôles d’accès stricts pour protéger les données d’identification des utilisateurs, les autorisations d’accès ainsi que toutes les données personnelles pertinentes.

Les entreprises doivent également respecter la « minimisation des données », ce qui signifie que la collecte de données et leur traitement doivent être strictement limités aux seules informations requises.

Une solution consiste à disposer d'une analyse complète qui montre comment les fichiers sont traités et surtout transférés pour rester en conformité.

Les données ne doivent pas seulement être protégées, elles doivent aussi être exactes.

En ce qui concerne les fichiers, vous avez besoin d'une vérification automatique de leur intégrité pour prouver qu'ils n'ont pas été modifiés.

Les données doivent également rester confidentielles et présenter une intégrité totale, ce qui signifie qu'elles sont à l'abri des menaces de sécurité internes et externes.

Le cryptage des données personnelles, tant en transit qu'au repos, constitue une excellente protection à cet égard.

Enfin, l'informatique est responsable du respect des principales réglementations et doit documenter cette conformité.

Cela peut se faire en collectant, rapportant et analysant automatiquement les données et les logs de transfert de fichiers - idéalement par le biais d'une interface consolidée et unique. Dans le même temps, ces logs doivent également permettre de savoir si les fichiers ont été altérés afin de garantir leur fiabilité.

Une solution pour la conformité: MOVEit

Avec MOVEit, plus besoin de vous soucier du fait que vos employés envoient des données personnelles par e-mail à d'autres employés ou à des entités extérieures ou qu'ils utilisent des services de partage de fichiers non sécurisés. Grâce au transfert de fichiers sécurisé, vous pouvez éliminer les erreurs des utilisateurs, suivre et signaler les données de chaque transfert de fichiers.

Avec MOVEit, vos utilisateurs finaux peuvent cesser de reposer sur des méthodes non sécurisées pour partager les informations les plus précieuses et les plus réglementées de votre entreprise. Les workflows et les tâches de transfert de fichiers automatisées accélèrent votre processus de partage de données tout en éliminant les erreurs utilisateur.

La sécurité avancée et l’architecture flexible de MOVEit vous permettent de mettre en œuvre les contrôles dont vous avez besoin pour assurer des transferts de fichiers conformes au RGPD. MOVEit Secure Managed File Transfer fournit le cryptage des données en transit comme au repos, la non-répudiation, les contrôles d’intégrité des données, l’intégration avec vos systèmes de sécurité existants et les registres détaillés de l’activité de transfert de fichiers.

Plus d’informations

Pour en savoir plus sur le transfert de fichiers et la conformité, veuillez consulter notre livre blanc sur transfert de fichiers et le RGPD.

Doug Barney

Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.