Et si ?

Et si nous vous disions que des modifications imminentes dans les lois relatives à la protection des données en Europe, spécifiquement dans le domaine de la violation des données, pourraient avoir un impact significatif sur toutes les organisations qui contrôlent des données personnelles (définies comme toute information pouvant permettre d’identifier une personne) ? Cela vous concerne-t-il ?

Qu’est-ce qu’une « violation de données » ?

Selon la loi européenne concernant la protection des données, les organisations qui contrôlent des données personnelles ont l’obligation de prendre des mesures organisationnelles et techniques adaptées afin d’éviter tout accès non autorisé. Parmi les exemples de violation de données, on trouve le piratage physique de la fibre optique pour accéder aux données en transit, exploitant les vulnérabilités dans la sécurité informatiques pour pénétrer dans des systèmes sécurisés ou même l’oubli d’un ordinateur portable non chiffré dans un train.

Ce qui change

En mai 2018, une nouvelle loi appelée Règlement général sur la protection des données (ou RGPD) sera mise en œuvre dans l’ensemble de l’Union européenne. Le RGPD remplacera les lois existantes de protection des données au niveau national et européen, et les harmonisera sur l’ensemble de 28 états membres. Les entreprises doivent à présent notifier les autorités compétentes dans les 72 heures suivant la découverte d’une violation de données personnelles et, pour les cas graves, les sujets des données affectés par la violation doivent aussi être avisés. Certains pays, particulièrement les Pays-Bas, n’ont pas attendu la mise en œuvre du RGPD et ont déjà des lois en place reflétant ces nouvelles exigences.  Le Royaume-Uni sera encore un état membre de l’Union européenne lorsque le RGPD entrera en vigueur en mai 2018, il s’appliquera donc au Royaume-Uni à partir de cette date. De plus, les entreprises qui ne sont pas basées dans l’Union européenne, mais qui lui fournissent des biens et des services, doivent également respecter le RGPD.   

Pourquoi est-ce important ?

Plusieurs incidents très en vue, notamment le piratage du Democratic National Committee pendant la campagne présidentielle aux États-Unis, ont placé les violations de données au cœur de l’actualité. Ces types d’incidents impliquent un accès non autorisé (ou une divulgation) de données personnelles. En vertu des lois actuelles sur la protection des données, l’amende maximale pour une violation de données personnelles est limitée à 500 000 €. Le RGPD augmentera de manière significative les amendes relatives à une violation impliquant des données personnelles à 10 000 000 € ou 2 % du chiffre d’affaires mondial total, selon le montant le plus élevé.

Quel impact cela a-t-il sur vous ?

Les amendes potentiellement dévastatrices dans le cadre du nouveau RGPD mettent la violation des données personnelles à l’ordre du jour des conseils de direction, surtout dans les entreprises dont l’activité est orientée vers le client (comme les banques, la santé et le commerce). Les entreprises doivent montrer qu’elles prennent des mesures organisationnelles et techniques adaptées pour empêcher de telles violations et aussi pour réduire leur impact.

Étant donné le risque accru de piratage des données en transit à cause d’une intrusion sur un réseau de fibre optique (cette vidéo de Ciena montre qu’il est possible de pirater une fibre optique), il est encore plus important de limiter les dommages potentiels d’une violation des données en chiffrant les données qui traversent le réseau. Ceci est pertinent à la fois pour les données d’entreprise et les données personnelles.

La solution

de Ciena WaveLogic Encryption assure une protection convaincante :

Notes d’application
Solution WaveLogic Encryption

a) Un chiffrement toujours actif, paramétré une fois pour toutes élimine les risques liés à l’erreur humaine.

b) Débit – en tant que solution de couche 1 basée sur du matériel, WaveLogic Encryption de Ciena assure un débit à 100 %, ce qui est crucial dans les connexions à haut débit, car cela peut retarder notamment les applications en cours d’exécution. En comparaison, le débit IPsec peut chuter de 50 % ou moins, selon les données en cours de chiffrement.

c) Délai de transit - la solution de couche 1 basée sur du matériel assure un délai de transit ultra-court, qui ajoute moins de 1 ms. Le temps qu’il faut aux données pour traverser la liaison est critique dans la connexion car la plupart des applications émettent en va-et-vient pour assurer la précision des données, et si cela prend trop de temps, le transfert des données peut se dégrader, voire même s’arrêter. Le délai de transit peut également affecter l’expérience client.

d) Conformité aux normes : La solution WaveLogic Encryption de Ciena respecte les normes strictes au niveau fédral aux États-Unis pour le traitement des informations (FIPS) (p. ex. moteur AES-256 homologué FIPS 197 et solution homologuée de niveau 2/3 FIPS 140-2)

  • Encodage de courbes elliptiques (ECC)
  • Authentification par certificat X.509 pour une intégration transparente aux PKI (infrastructures de clés publiques) existantes.
  • Autres fonctions de sécurité, telles qu’une rotation rapide et sans heurts des clés et des jeux indépendants de clés, ce qui les rend plus difficiles à déjouer.

e) Indépendance du protocole - WaveLogic Encryption chiffre de multiples protocoles transportés sur la même longueur d’onde le long de la fibre optique.

f) Gestion de chiffrement dédiée – cette solution offre une capacité séparée pour la gestion du réseau, donnant à l’équipe de sécurité du client final un contrôle total des paramètres de sécurité pendant que l’opérateur réseau gère la fonctionnalité du réseau. Le client final est le seul à disposer d’un accès aux clés de chiffrement et peut changer les paramètres des services de chiffrement avec le portail en ligne MyCrypto.

g) Expérience de déploiement - Ciena a effectué des déploiements de chiffrement dans le monde entier, une expérience complète et démontrée qui inclut des prestataires de services majeurs, ainsi que des institutions financières, des opérateurs de data centers, des prestataires de santé, des agences gouvernementales et des compagnies électriques.

Solutions de chiffrement virtuel :

Pour les sites ou les data centers de taille réduite, dans lesquels bande passante et délai de transit ne sont pas un gros problème, et la connectivité est assurée par une ligne louée à un prestataire de services, un chiffrement virtuel avec une gestion de clés de chiffrement par l’utilisateur final peut assurer la sécurité des données.

La solution de VNF (fonction réseau virtuelle) de Ciena tire parti du 3906, qui inclut un emplacement de serveur intégré, et Certes, un partenaire de l’écosystème Blue Orbit, permet le chiffrement en tant que VNF.