Le GDPR est-il une bonne chose ou une amende ? Le passage de la préparation minimale viable (MVP) aux mesures minimales défendables (MDM)

Beaucoup d’organisations ont adopté ce qu’il convient d’appeler une approche MVP (préparation minimale viable) avant l’entrée en vigueur du GDPR en mai 2018. C’était compréhensible étant donné le manque général d’orientations claires, le coût et les perturbations liés à des préparations approfondies, l’incertitude quant à l’impact du Brexit et les messages contradictoires concernant l’application de la loi.

Il ne s’est pas passé grand-chose pendant un an, période pendant laquelle le MVP a semblé à beaucoup être la bonne décision. Cependant, les sanctions récemment proposées pour BA et Marriot (respectivement 183 millions et 92 millions de livres sterling) semblent avoir incité les organisations à réévaluer cette approche et à réexaminer leur position en matière de conformité.

Le GDPR a un impact sur un certain nombre de domaines : les droits des personnes concernées, la sécurité des données, la licéité du traitement et l’interaction avec le marketing (PECR). Bien qu’il soit souhaitable de prendre en compte l’ensemble de ces aspects, sur quoi les organisations devraient-elles raisonnablement concentrer leurs efforts renouvelés en premier lieu ? Jusqu’à présent, les amendes proposées les plus importantes ont été liées à la sécurité des données et aux violations de données à caractère personnel. C’est logique, car si la légalité du traitement est très importante, la perte par négligence de données à caractère personnel dans les profondeurs du dark web est calamiteuse. Et ce, que les données aient été traitées légalement ou non.

Le règlement lui-même n’est pas très précis quant à la manière dont les organisations doivent sécuriser les données à caractère personnel. À l’exception d’une poignée de technologies, ils ont opté pour le fourre-tout « mesures techniques et organisationnelles appropriées » – le « principe de sécurité ». Ce principe a été conçu pour éliminer la défense de la liste de contrôle et pour rester à jour à la fois en tant qu’orientation et en tant que test réglementaire. En pratique, cela signifie qu’en cas de violation, vous devez être en mesure de prouver que votre sécurité était adaptée aux risques liés au traitement des données et à l’environnement actuel de menaces. Dans cette optique, nous constatons que les organisations s’orientent désormais davantage vers un état d’esprit de type MDM (mesures minimales de défense).

Ce qui nous amène à un domaine clé de la défense : Le pare-feu. « Tout le monde a un pare-feu. Le problème est que les pare-feu traditionnels fonctionnent au niveau du réseau, alors que la plupart des piratages se produisent désormais au niveau de l’application. Les pare-feu de réseau traditionnels ne peuvent pas inspecter ces menaces et ne savent donc pas comment les bloquer. Un WAF le peut. Même le trafic crypté.

Un WAF est un pare-feu d’application Web.

Ils sont appropriés, rentables et efficaces. Je vous recommande vivement d’en utiliser un. Les nôtres sont également très faciles à utiliser.

edgeNEXUS facilite considérablement la création, la sécurisation et le maintien d’une expérience exceptionnelle en matière de fourniture d’applications.

La complexité concerne le code source. Pas pour l’interface utilisateur.

edgeNEXUS facilite considérablement la création, la sécurisation et le maintien d’une expérience exceptionnelle en matière de fourniture d’applications.

 

 

 

 

 

 

 

 

 

 

About John Payne