Stop à la peur, à l’incertitude et au doute à propos de la RGPD, agissez !

RGPDCe n’est pas encore un autre article sur les risques et les amendes si vous ne respectez pas le nouveau Règlement Général sur la Protection des Données (RGPD). Nous préférons vous indiquer comment vous préparer avec un plan d’action efficace.

 

Par où commencer pour votre plan RGPD ?

Selon une des dernières études réalisées par Forrester (2016) *, sur les entreprises qui ont subi une cyber-attaque via une faille de sécurité externe au cours des 12 derniers mois, la principale méthode d’intrusion était la vulnérabilité du logiciel avec 42%.

Afin de vous préparer à la RGDP, une des premières pistes à étudier est la gestion des vulnérabilités [connues] (étant éditeur de logiciels de gestion de vulnérabilités, nous pourrons au mieux vous aider dans cette démarche).

En dépit d’être un problème mature avec des solutions disponibles sur le marché depuis 25 ans, les entreprises et les administrateurs sécurité continuent d’être exposés face aux vulnérabilités. En outre, nous devons reconnaître que les dernières cyber-attaques de logiciels malveillants (Wannacry, Petya, Petrwrap) ont justement profité de vulnérabilités connues. Pour en revenir à la RGPD, il existe 2 obligations pour les entreprises concernant les vulnérabilités :

  1. Les entreprises doivent régulièrement effectuer des évaluations de vulnérabilités,
  2. Les entreprises doivent avoir un plan d’action et afficher des progrès sur la gestion des vulnérabilités.

 

Le début du combat pour respecter la RGPD

Certaines entreprises choisissent d’externaliser ces obligations vers les fournisseurs de services de sécurité managés (MSSP) en raison du manque d’expertise et du manque de ressources humaines. D’autres décident de l’exécuter en interne avec des outils dédiés. Quoi qu’il en soit, le principal problème à anticiper est d’intervenir sur ses vulnérabilités pour y remédier. Une fois que les 28 nouvelles vulnérabilités quotidiennes sont détectées (moyenne en 2016, mais 58 nouvelles vulnérabilités par jour au premier semestre de 2017 en moyenne), quelqu’un doit faire le travail.

Et ce n’est pas une tâche facile en raison de :

  • Manque de temps et de budget : comme promis, nous ne ferons pas encore une autre analyse de ROI sur la sécurité 🙂
  • Manque de pouvoir : nous connaissons tous un serveur ou une application spécifique qui ne peut être touché car le risque est trop grand
  • Trop de vulnérabilités : les indicateurs de risque et les outils de management du risque peuvent aider à prioriser, mais vous devez procéder par étapes pour ne pas vous décourager au vue de la masse de travail (commencez par les vulnérabilités critiques)
  • L’entreprise lance de nouvelles applications et services trop rapidement : l’équipe de sécurité n’a pas le temps de se préparer et de tout suivre
  • Les développeurs et les DevOps utilisent toutes sortes de nouvelles technologies : AWS, Azure, GCE, Docker, Hadoop… L’équipe de sécurité ne peut pas tout maîtriser et ne peut pas connaître toutes les failles de sécurité

 

Premier pas vers la RGPD

De notre point de vue, la réponse à ces problématiques est l’automatisation. Cela s’inscrit dans la culture DevOps qui prône le déploiement et le lancement de nouvelles applications plus rapidement. Vous devez concentrer vos efforts en automatisant la détection de vulnérabilités et leur gestion dans le temps grâce à des rapports de risque adaptés. Une fois les premières actions effectuées sur votre infrastructure, le niveau de risque diminuera immédiatement. Vous pourrez ensuite effectuer chaque jour quelques ajustements pour éviter de devoir gérer une masse importante de vulnérabilités.

C’est une bonne première étape à aborder en 2017 et il y a beaucoup à faire jusqu’au 25 mai 2018 pour l’entrée en vigueur de la RGPD. Alors restez à l’écoute et commencez à travailler votre plan d’action dès maintenant !

Pour vous aider, nous vous offrons la possibilité de faire un diagnostic gratuit d’une de vos IP.

 

*Source: Forrester’s Global Business Technographics Security Survey, 2016

https://www.forrester.com/report/Global+Business+Technographics+Security+Survey+2016+Overview/-/E-RES136747

 

Leave a Reply