Comment découvrir les données soumises au GDPR avec Varonis
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir...
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.
Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.
Extrait des données concernées par le GDPR obtenues dans le cadre d’une Évaluation de l’état de préparation au GDPR
Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !
Comment identifier mes données concernées par le GDPR ?
Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).
La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).
Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.
Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.
Exemple de correspondances de classification de données concernées par le GDPR – Allemagne
L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.
Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.
Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.
Comment trouver les nouvelles données concernées par le GDPR ?
Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.
Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.
Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
1
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
Michael BuckbeeMichael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.
Essayez Varonis gratuitement.
Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise. Se déploie en quelques minutes.
Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.
Comment se préparer à un audit des autorisations de Salesforce ?
Mike Mason
28 septembre 2022
Dans cet article, je vais vous indiquer en quoi consiste un audit Salesforce, vous expliquer comment fonctionnent les autorisations et vous donner des conseils pour vous préparer.
L'avenir de la sécurité des données dans le cloud : aller plus loin avec la DSPM
Mike Thompson
24 juin 2024
Découvrez ce que vous devez savoir lorsque vous évaluez une solution DSPM, pourquoi l’automatisation IaaS est cruciale et comment vous pouvez vous préparer aux enjeux à venir de la DSPM.
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Lexi Croisdale
25 janvier 2024
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
L'IA dans le monde professionnel : trois étapes pour préparer et protéger votre entreprise
Yaki Faitelson
3 novembre 2023
Découvrez comment votre entreprise peut se préparer et protéger vos données sensibles contre les risques que présente l’IA générative.
Comment découvrir les données soumises au GDPR avec Varonis
Contents
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.
Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.
Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !
Comment identifier mes données concernées par le GDPR ?
Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).
La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).
Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.
Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.
L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.
Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.
Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.
Comment trouver les nouvelles données concernées par le GDPR ?
Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.
Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.
Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
Essayez Varonis gratuitement.
Se déploie en quelques minutes.
Keep reading
Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.