La mondialisation et les développements technologiques rapides - de l'informatique cloud aux services de localisation en passant par les réseaux sociaux - ont entraîné une augmentation significative de l'ampleur des données personnelles que les entreprises privées et les autorités publiques collectent et partagent.
Ces tendances sont les principaux moteurs de RGPD, qui entrera en vigueur le 25 mai 2018 et remplacera la directive européenne sur la protection des données adoptée en 1995. Le RGPD modernise les règles européennes en matière de protection des données et établit une législation européenne unique et harmonisée, remplaçant la mosaïque de lois nationales actuellement en vigueur dans les 28 pays membres de l'UE.
Selon le département "Justice et consommateurs" de la Commission européenne, le RGPD devrait générer 2,3 milliards d'euros d'avantages économiques par an en réduisant la complexité juridique et en permettant aux entreprises d'étendre plus facilement leurs activités dans l'ensemble de l'UE.
Le règlement général de protection des données (RGPD) sera mis en œuvre au niveau local, chaque État membre de l'UE désignant une autorité de contrôle. Son impact se fera également sentir au-delà des frontières de l'UE, car la législation s'applique à toute organisation qui détient ou traite des données relatives aux citoyens de l'UE dans le cadre de l'offre de biens et de services, ou qui surveille des individus au sein de l'UE, quel que soit le lieu d'implantation de cette organisation.
Vectra AI renforce les équipes de cybersécurité et fournit les capacités techniques clés nécessaires pour se conformer au site RGPD.
Principales caractéristiques et avantages du RGPD
Les principales caractéristiques du règlement général de protection des données (RGPD) sont les suivantes
- Les données personnelles des résidents de l'UE sont protégées, quel que soit l'endroit où elles sont envoyées, traitées ou stockées, même en dehors de l'UE. On entend par "données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable.
Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique. - Les organisations doivent obtenir le consentement explicite et éclairé d'une personne pour collecter et traiter ses données personnelles.
- Les personnes ont le droit à la portabilité des données d'un fournisseur à l'autre, à l'effacement de leurs données personnelles et à l'opposition à l'utilisation de leurs données à des fins de profilage.
- Les personnes ont le droit de savoir si leurs données ont été piratées ; dans les cas à haut risque (par exemple, lorsque le vol d'identité est à craindre), les entreprises et les organisations doivent informer les personnes d'une violation de données dans les 72 heures.
Une violation de données à caractère personnel est une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès à ces données. - En vertu du principe du "guichet unique", une entreprise ayant des filiales dans plusieurs États membres de l'UE ne devra traiter qu'avec l'autorité de contrôle du pays dans lequel elle a son siège ou son principal établissement.
- Toute organisation, qu'elle soit ou non établie dans l'UE, devra appliquer la loi européenne sur la protection des données si elle souhaite offrir des biens et des services dans l'UE ou surveiller le comportement des résidents de l'UE.
- Les sous-traitants et les responsables du traitement ne peuvent transférer des données en dehors de l'UE que s'ils mettent en place des garanties appropriées et si les personnes disposent de droits exécutoires et de voies de recours.
Le sous-traitant est une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel. - Les autorités de contrôle du RGPD disposent d'un éventail de sanctions, notamment des avertissements écrits, des audits et des amendes punitives pouvant aller jusqu'à 20 000 000 € ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Les sections suivantes mettent en évidence les aspects de protection des données et d'évaluation d'impact du RGPD et détaillent comment la plateforme de détection et de réponse aux menaces pilotée par l'IA de Vectra contribue à la conformité au RGPD et aide à protéger les données personnelles en assurant une surveillance et une détection continues et automatisées des menaces sur l'ensemble du réseau d'une organisation. En automatisant la chasse aux cyberattaquants cachés dans les réseaux et en permettant une réponse plus rapide aux incidents pour stopper les menaces actives, Vectra condense des semaines et des mois de travail en quelques minutes afin que les équipes de sécurité puissent agir rapidement pour empêcher le vol ou la détérioration des données.
Principales exigences du RGPD en matière de protection des données
Le RGPD est un ensemble de règlements solides qui couvrent les droits et les responsabilités, et qui comprennent une exigence générale selon laquelle les organisations doivent assurer "la protection des données dès la conception et par défaut".
En d'autres termes, les organisations sont censées intégrer la sécurité dans leurs opérations et utiliser des technologies et des services qui intègrent des garanties de protection des données et des paramètres par défaut respectueux de la vie privée, comme sur les réseaux sociaux ou les applications mobiles.
Le RGPD fournit des suggestions spécifiques sur les types de mesures de sécurité qui pourraient être considérées comme appropriées au risque, notamment
- Le cryptage des données personnelles et/ou leur anonymisation ou l'utilisation d'un identifiant numérique ou autre comme pseudonyme du nom d'une personne.
- Garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement.
- Rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique.
- tester, apprécier et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
En outre, le RGPD prévoit la désignation d'un délégué à la protection des données (DPD). Cette personne est responsable de la mise en œuvre de la protection des données, de la conformité et de l'établissement de rapports au sein d'une organisation. Le DPD peut remplir d'autres tâches et fonctions. Par exemple, un responsable de la sécurité de l'information peut également être un DPD.
Vectra AI aide les organisations à respecter le RGPD
Pour se conformer avec le RGPD, il faut mettre en place des technologies et des processus appropriés. Vectra AI renforce les équipes chargées de la cybersécurité et fournit les capacités techniques clés nécessaires pour se conformer au RGPD.
Vectra AI prend en charge la protection des données en assurant une surveillance continue et ininterrompue du trafic réseau, la détection des menaces en temps réel, le triage et le reporting des incidents. Grâce à l'intelligence artificielle et à l'analyse du comportement des attaquants, Vectra AI traque automatiquement les cybermenaces actives sur l'ensemble du réseau de l'entreprise, depuis cloud et les charges de travail du centre de données jusqu'aux utilisateurs et aux appareils IoT.
Vectra AI automatise de nombreuses tâches à forte intensité de main-d'œuvre qui incombent généralement aux analystes de cybersécurité de niveau 1 et aux équipes d'intervention en cas d'incident. En automatisant ces tâches, Vectra AI réduit considérablement le temps consacré aux enquêtes sur les menaces (jusqu'à 90 %), ce qui permet aux équipes de sécurité de se concentrer sur la prévention et l'atténuation des pertes de données. Les principales fonctionnalités de la plateforme Vectra AI sont les suivantes :
- Surveillance et analyse en continu de l'ensemble du trafic réseau, y compris le trafic lié à Internet et le trafic réseau interne entre les hôtes physiques et virtuels dotés d'une adresse IP - tels que les ordinateurs portables, les serveurs, les imprimantes, le BYOD et les appareils IoT - quel que soit le type d'appareil, le système d'exploitation ou l'application.
- La visibilité en temps réel du trafic réseau grâce à l'extraction des métadonnées des paquets plutôt qu'à l'inspection approfondie des paquets permet d'assurer la protection sans s'immiscer dans les informations personnelles ou sensibles de la charge utile.
- Analyse des métadonnées des paquets capturés à l'aide d'algorithmes de détection comportementale qui repèrent les attaquants cachés et inconnus, que le trafic soit crypté ou non.
- Identification déterministe des comportements d'attaque, y compris l'utilisation de chevaux de Troie d'accès à distance, de tunnels cryptés, de comportements de botnet, de ransomware, d'attaquants internes et de menaces avancées ciblées.
Vectra AI suit en permanence les menaces dans le temps et dans toutes les phases d'une attaque, depuis le commandement et le contrôle (C&C), la reconnaissance interne, le mouvement latéral et, ce qui est essentiel au RGPD, les comportements d'exfiltration de données. - Corrélation automatique des menaces avec les dispositifs hôtes attaqués et détails de la détection des menaces comprenant le contexte de l'hôte, les captures de paquets, la gravité de la menace et les scores de certitude.
- Soutien à la cybersécurité adaptative grâce à un processus itératif d'amélioration qui s'appuie sur les travaux des Vectra Threat Labs™, un groupe de chercheurs en sécurité hautement qualifiés, ainsi que sur des algorithmes de détection comportementale qui apprennent constamment de l'environnement local et des tendances mondiales.
Comment Vectra AI répond aux exigences clés du RGPD
Le tableau suivant détaille les différentes façons dont Vectra AI aide les organisations à répondre à des éléments spécifiques des exigences du RGPD .
Article du RGPD |
Réponse de Vectra AI |
Article 25 : Protection des données dès la conception et par défaut |
|
1. Compte tenu de l'état de la technique, du coût de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques que présente le traitement, le responsable du traitement doit, tant au moment de la détermination des moyens de traitement qu'au moment du traitement lui-même, mettre en œuvre des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui visent à mettre en œuvre les principes de protection des données, tels que la minimisation des données, d'une manière efficace et à intégrer les garanties nécessaires dans le traitement afin de satisfaire aux exigences du présent règlement et de protéger les droits des personnes concernées.
2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cette obligation s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à la durée de leur conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles, sans l'intervention de la personne concernée, à un nombre indéfini de personnes physiques.
|
Vectra AI aide à faire respecter les normes de traitement des données en alertant le personnel chargé de la cybersécurité lorsque des données sont transférées entre parties d'une manière qui enfreint ou n'est pas cohérente avec les pratiques établies.
Ceci est réalisé en définissant les comportements standard du réseau et en surveillant ensuite tout mouvement anormal de données entre hôtes, y compris le volume ou la fréquence des mouvements de données.
Lorsqu'un mouvement anormal est détecté, Vectra AI fournit des informations sur l'hôte qui transmet les données, l'endroit où il transmet les données, la quantité de données et la technique utilisée pour les envoyer.
En outre, Vectra AI répond aux exigences de chiffrement et de pseudonymisation des données (protection des données dès la conception) en se concentrant sur les en-têtes des paquets du réseau et non sur la charge utile des données, ce qui rend inutile toute forme de décryptage des données, de routage des données ou de techniques intrusives de surveillance/traitement des données.
|
Vectra AI contribue à l'application des normes de traitement des données en alertant le personnel chargé de la cybersécurité lorsque des données sont transférées entre les parties d'une manière qui enfreint les pratiques établies ou qui n'est pas conforme à celles-ci.
Article du RGPD |
Réponse de Vectra AI |
Article 32 : Sécurité du traitement
|
|
1. Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque dont la probabilité et la gravité varient pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris entre autres, le cas échéant : A. La pseudonymisation et le chiffrement des données à caractère personnel; 4.5.2016 L 119/51 Journal officiel de l'Union européenne FR; B. La capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement; C. La capacité de rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique; D. Un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement. |
En surveillant constamment le réseau à la recherche d'indicateurs de compromission, Vectra AI aide les organisations à valider l'efficacité de leurs solutions techniques défensives dans le cadre des mesures du RGPD.
Vectra AI permet au personnel de sécurité de voir ce qui échappe à leurs défenses en fournissant des alertes sur les comportements précurseurs de menaces, tels que le C&C, la reconnaissance interne, le mouvement latéral et la consolidation des données.
Vectra AI Le système d'alerte précoce permet de détecter les ransomwares, d'autres variantes de logiciels malveillants et les activités malveillantes ciblées qui peuvent précéder des attaques de vol, de manipulation ou de destruction de données contre n'importe quel appareil du réseau, y compris les appareils qui ne sont pas équipés d'un logiciel antivirus.
De même, Vectra AI suit l'infrastructure Kerberos interne et les outils d'administration du système afin de comprendre les comportements d'utilisation normale et de détecter lorsque les informations d'identification d'un utilisateur de confiance sont compromises par un pirate individu ou des attaquants externes.
Ces comportements comprennent l'utilisation abusive des informations d'identification administratives et l'abus de protocoles administratifs tels que IPMI. En conséquence, les équipes de sécurité peuvent identifier et atténuer les attaques en un temps opportun.
En outre, Vectra AI aide les organisations à démontrer qu'elles ont mis en place des mesures techniques appropriées. Par exemple, la détection automatisée, le triage et la hiérarchisation des menaces de Vectra AI déclenchent des notifications en temps réel aux équipes de sécurité.
Les notifications offrent des explications concises sur chaque attaque détectée, y compris les événements sous-jacents et le contexte historique qui ont conduit à la détection, les déclencheurs possibles, les causes profondes, les impacts sur l'entreprise, et les étapes à vérifier. |
Vectra AI permet au personnel de sécurité de voir ce qui échappe à leurs défenses en fournissant des alertes sur les comportements précurseurs de menaces.
Article du RGPD |
Réponse de Vectra AI |
Article 33 : Notification d'une violation de données à caractère personnel à l'autorité de contrôle |
|
1. En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation de données à caractère personnel à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance, sauf si la violation de données à caractère personnel n'est pas susceptible d'engendrer un risque pour les droits et libertés de personnes physiques. Si la notification à l'autorité de contrôle n'est pas effectuée dans les 72 heures, elle est accompagnée des raisons du retard.
2.Le sous-traitant notifie au responsable du traitement dans les meilleurs délais après avoir pris connaissance d'une violation de données à caractère personnel.
3. La notification visée au paragraphe 1 doit au moins: A. Décrire la nature de la violation de données à caractère personnel, y compris si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés; B. Communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues; C. Décrire les conséquences probables de la violation de données à caractère personnel; D. Décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets négatifs.
4. Lorsqu'il n'est pas possible de fournir les informations en même temps, et dans la mesure où il n'est pas possible de le faire, les informations peuvent être fournies par étapes sans délai supplémentaire injustifié.
5.Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits relatifs à la violation de données à caractère personnel, ses effets et les mesures correctives prises. Cette documentation permet à l'autorité de contrôle de vérifier le respect du présent article.
|
Vectra AI tire parti d'une combinaison de techniques d'intelligence artificielle pour automatiser l'identification et la documentation des attaques et déterminer lesquelles, le cas échéant, doivent faire l'objet d'un rapport sous RGPD. Les équipes de sécurité reçoivent des explications concises sur chaque détection, y compris les déclencheurs possibles, les causes profondes, les impacts commerciaux et les étapes à vérifier.
Vectra AI aide les équipes de sécurité en : - affichant les informations de détection via un tableau de bord simple qui donne la priorité aux hôtes compromis qui présentent le risque le plus élevé , aux changements dans les scores de menace et de certitude d'un hôte, et à tout actif clé qui montre des signes d'attaque.
- Permettre aux équipes de sécurité de partager facilement les mêmes informations à la demande ou selon un calendrier défini en utilisant le moteur de reporting Vectra AI hautement personnalisable. - Exploiter le Vectra Threat Certainty Index™ pour déclencher des notifications en temps réel afin que les équipes de sécurité sachent instantanément quels hôtes du réseau avec des indicateurs d'attaque représentent le plus grand risque avec le degré de certitude le plus élevé. - Permettre le signalement et la notification en temps utile des violations de données personnelles en identifiant les détections d'exfiltration de données et en fournissant des preuves de tentatives de violations de données.
Vectra AI prend également en charge ces activités de réponse de sécurité et de remédiation : - Alertes en temps réel par e-mail, syslog ou d'autres outils qui ont été intégrés via une API REST. - Un point de départ précorrélé pour les enquêtes de sécurité au sein des systèmes de gestion des informations et des événements de sécurité (SIEM) et des outils médico-légaux. - L'application de règles de réponse dynamiques ou le déclenchement automatique d'une réponse à partir de solutions existantes d'orchestration de la sécurité et d'application de la loi.
|
Les équipes de sécurité reçoivent des explications concises sur chaque détection, y compris les déclencheurs possibles, les causes profondes, les impacts sur l'entreprise et les étapes de vérification.
Article du RGPD |
Réponse de Vectra AI |
Article 35 : Analyse d'impact relative à la protection des données
|
|
1. Lorsqu'un type de traitement utilisant notamment de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement procède, avant le traitement, à une évaluation de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Une évaluation unique peut porter sur un ensemble d'opérations de traitement similaires présentant des risques élevés similaires. [...]
7. L'évaluation contient au moins : A. Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement ; B. Une évaluation de la nécessité et de la proportionnalité des opérations de traitement par rapport aux finalités; C. Une évaluation des risques pour les droits et libertés des personnes concernées visées au paragraphe 1; D. Les mesures envisagées pour faire face aux risques, y compris les garanties, les mesures de sécurité et les mécanismes pour assurer la protection des données à caractère personnel et pour démontrer la conformité avec le présent règlement, en tenant compte des droits et des intérêts légitimes des personnes concernées et des autres personnes intéressées.
8.Le respect par les responsables du traitement ou les sous-traitants concernés des codes de conduite approuvés visés à l'article 40 est dûment pris en compte dans l'évaluation de l'impact des opérations de traitement effectuées par ces responsables du traitement ou ces sous-traitants, en particulier aux fins d'une analyse d'impact relative à la protection des données.
[...]
11. Le cas échéant, le responsable du traitement procède à un examen pour déterminer si le traitement est effectué conformément à l'analyse d'impact relative à la protection des données, au moins lorsqu'il y a une modification du risque présenté par les opérations de traitement. |
Vectra AI surveille en permanence la communication entre les applications, les outils et les systèmes. Lorsque de nouvelles technologies ou plateformes sont connectées au réseau, elles sont instantanément surveillées par Vectra AI pour détecter les signes d'une attaque.
En outre, Vectra AI fournit une sensibilisation continue à une mauvaise gestion des données et à une mauvaise configuration du système qui pourrait créer une exposition des données et un risque de violation.
Vectra AI contribue à la capacité d'effectuer une évaluation holistique de l'impact, car il fournit des preuves de comportements suspects et de menaces réelles à l'intérieur du réseau qui sont associés à la manipulation et à la perte de données, ainsi que des comportements précurseurs d'attaques.
|
Vectra AI surveille en permanence la communication entre les applications, les outils et les systèmes.
Protection des données personnelles dans le cadre du RGPD avec Vectra AI
L'application uniforme du RGPD dans les États membres de l'UE devrait permettre aux organisations de mettre en place plus facilement des régimes de sécurité des données conformes et des procédures de notification des violations. Il est essentiel de disposer d'outils et de technologies appropriés.
Malheureusement, la détection et la réponse aux cyberattaques sont souvent lentes. Selon le rapport M-Trends 2016, il faut en moyenne 146 jours avant qu'une violation soit détectée. Et 53 % d'entre elles ne sont découvertes qu'après avoir été notifiées par une partie externe, indique le rapport.
La plateforme de détection et de réponse aux menaces Vectra AI réduit les processus de notification et de réponse aux menaces de plusieurs semaines ou jours à quelques minutes. Grâce à l'intelligence artificielle, elle identifie les menaces de manière proactive et en temps réel.
En automatisant les tâches à forte intensité de main-d'œuvre qui incombent généralement aux analystes de cybersécurité de niveau 1 et aux équipes de réponse aux incidents, Vectra AI réduit considérablement le temps consacré aux enquêtes sur les menaces (jusqu'à 90 %), ce qui permet aux équipes de sécurité de se concentrer sur la prévention et l'atténuation des pertes de données.
Efficace et économique, Vectra AI offre aux équipes de sécurité informatique une visibilité en temps réel sur l'ensemble du trafic réseau, repère les attaquants cachés et inconnus et met le contexte des événements de sécurité à portée de main.
En donnant aux équipes de cybersécurité la possibilité d'identifier et d'intervenir aux premiers stades d'une attaque, bien avant qu'une violation de données ne se produise, Vectra AI réduit le risque de violation de données.
De même, ces mêmes capacités de détection et d'alerte du site Vectra AI contribuent à l'évaluation et font partie d'une architecture technique de cybersécurité appropriée qui soutient la conformité au site RGPD .