• +352 2877 5961
  • “Terre Verte“ 70, route de Belval L-4024 Esch sur Alzette

Profitez du GDPR pour améliorer la sécurité de vos données

14th novembre 2017 , , ,

La prochaine mise en application du Règlement général sur la protection des données (GDPR) est souvent présentée comme une menace potentielle pour toutes les entreprises manipulant des données à caractère personnel. Mais est-ce vraiment le cas ? Ne constitue-t-elle pas au contraire une opportunité pour renforcer la sécurité et favoriser la pérennité de l’entreprise ? La protection telle qu’elle est décrite dans la règlementation européenne peut s’appliquer à toutes les données, y compris celles qui ne sont pas à caractère personnel. Ainsi, l’article 32 relatif à la sécurité du traitement stipule que le responsable du traitement des données et le sous-traitant doivent mettre en œuvre toutes les mesures techniques et opérationnelles afin de garantir un niveau adapté au risque, entre autres la pseudonymisation et le cryptage, la garantie de l’intégrité des données transmises et la sécurité d’accès ainsi que la disponibilité des données dans des délais appropriés en cas d’incident physique ou technique.

 

La disponibilité des données est devenue un enjeu essentiel pour les entreprises. La moindre perte peut avoir des conséquences dommageables sur le chiffre d’affaires et l’image de toute organisation. Or, d’après l’enquête Market Pulse de SailPoint publiée en 2017 et menée auprès de 600 décideurs informatiques d’importantes sociétés à travers le monde, 71% des entreprises déclarent ne pas être complètement équipées pour protéger les données non structurées. Le chiffre inquiète et démontre l’urgence de mettre en place un plan de reprise d’activité (Disaster Recovery Plan ou DRP) ou un plan de continuité d’activité (Business Continuity Plan ou BCP). Le premier permet de reconstruire l’infrastructure informatique de quelques heures à quelques jours et de tester l’intégrité et la résilience du système d’information. Le deuxième permet de ne subir quasi aucune interruption de service grâce à un temps de bascule très court du site primaire au site de secours. Autre avantage et non des moindres : le site miroir peut servir de base d’exploration pour les analyses de données (Data Analytics) sans aucune incidence sur la performance du site de production.

 

Il existe différentes manières de se doter d’un DRP ou d’un BCP. Deux facteurs vont en déterminer la profondeur et la complexité : la durée maximale d’interruption (Recovery Time Objective ou RTO) et la perte de données maximale (Recovery Point Objective ou RPO) admissibles par l’entreprise lors d’une panne ou d’un incident. Plusieurs options sont possibles pour la duplication de l’infrastructure technique : soit en interne – mais cela nécessite des moyens importants -, soit en externe par l’intermédiaire d’une organisation tierce et via un cloud privé ou public, soit de façon hybride. Le choix des solutions de réplication des données peut également s’avérer déterminant pour la mise en place d’un DRP ou d’un BCP. Celles proposées par les grands éditeurs s’avèrent souvent onéreuses mais il existe des alternatives ouvertes et adaptables.

 

Quels que soient les niveaux de profondeur et de complexité choisis, un DRP ou un BCP n’est pas figé et suit un processus d’amélioration continue. Il doit être testé régulièrement pour en vérifier l’efficacité et en optimiser le caractère opérationnel dans une entreprise en constante évolution. Pour un plan de reprise d’activité, les tests doivent être effectués au moins une fois par an – idéalement tous les six mois – et a minima remonter les données. En revanche, les tests sont effectués en permanence dans un plan de continuité d’activité et comprennent régulièrement – au moins une fois par mois – le basculement d’un site à l’autre.

En suivant les bonnes pratiques décrites ci-dessus, vous rencontrez non seulement les exigences formulées par le GDPR mais vous assurez également la survie de votre entreprise et resserrez les liens avec vos clients et vos prospects. On ne le dira jamais assez : démontrer ses capacités en matière de sécurité et de protection des données reste le meilleur argument de vente !