Le RGPD et le cryptage

Notez que cet article n’a qu’une valeur informative. Il n’a pas pour but et ne doit pas être considéré ou interprété comme un conseil juridique. Vous ne devez pas agir ou vous abstenir d’agir sur la base du contenu de cet article sans demander l’avis d’un avocat ou d’un autre professionnel.

Lisez aussi :

• RGPD : guide de mise en conformité
• RGPD et sauvegardes : bonnes pratiques

Le chiffrement est un outil puissant pour protéger les données personnelles et c’est la principale raison pour laquelle le RGPD fait explicitement référence au chiffrement dans plusieurs articles.

Le fait que le cryptage soit mentionné à de nombreuses reprises dans la nouvelle réglementation a amené de nombreuses personnes à penser qu’il s’agit d’une exigence obligatoire pour la mise en conformité. Mais nous allons voir que ce n’est pas le cas.

Le RGPD protège les résidents européens et leurs données personnelles et cet objectif est bien plus large que l’adoption d’un ensemble de technologies de sécurité. Adopter le chiffrement est certainement utile pour se conformer au RGPD, mais ce n’est pas obligatoire et cela ne représente pas non plus une mesure suffisante pour être conforme.

Voyons deux exemples pour mieux comprendre :

• ACME Inc. a adopté le cryptage de la base de données pour la BD clients de son logiciel de comptabilité. Malgré cela, le mot de passe administrateur de la solution est partagé et accessible par tous les employés et il n’est pas modifié périodiquement.
• Au lieu de cela, BIG Llc. a investi dans la formation afin de protéger les données personnelles et a appliqué un ensemble de politiques sévères pour la gestion des mots de passe et l’accès aux machines physiques et aux points de contact numériques avec la base de données des clients, bien qu’il n’ait pas adopté de technologie de cryptage.

Qu’en pensez-vous, peut-on considérer ACME Inc. comme une entreprise conforme au RGPD ? À quelle entreprise feriez-vous le plus confiance ? Bien qu’il soit plus sûr d’avoir une base de données cryptée, nous préférons la seconde.

En fin de compte, ce qui compte vraiment, c’est la protection des données personnelles des résidents de l’UE et le RGPD ne précise pas comment l’assurer : le règlement exige l’adoption de mesures adéquates, par rapport aux risques, et les entreprises devront démontrer le respect des principes de protection.

Alors, le cryptage est-il vraiment nécessaire ?

Pas nécessairement, mais il est très probable que le cryptage puisse être une mesure requise pour protéger les données personnelles gérées par votre entreprise contre les menaces extérieures.

Simplement, le cryptage n’a pas à être adopté à tous les niveaux possibles, pour toutes les données disponibles et, à coup sûr, ce n’est pas la seule mesure à adopter.

Tout d’abord, il est important d’introduire des processus et des politiques robustes pour la protection des données. À ce sujet, nous vous suggérons de lire notre article précédent sur la mise en conformité avec le RGPD.

Vous devez aussi tenir compte du fait que le cryptage protège les données mais limite leur disponibilité, ralentit les opérations d’écriture et de lecture et peut – en cas de perte des clés de cryptage – entraîner une perte de données. C’est pourquoi nous vous suggérons de suivre les meilleures pratiques afin de tirer le meilleur parti de votre infrastructure de stockage et de protéger les données.

Chiffrez les lecteurs physiques

Le cryptage des lecteurs physiques permet de protéger les données personnelles contre les vols, les pertes ou les démantèlements non conformes à la procédure des machines physiques.

Toutes les plateformes principales, y compris les mobiles, et la plupart des NAS, SAN et autres périphériques de stockage, prennent en charge le cryptage en temps réel au niveau du disque.

Le cryptage des disques est une solution efficace en termes de temps et de puissance. Nous vous suggérons de l’adopter sur toutes les machines contenant des données critiques pour l’entreprise et/ou des données personnelles.

Pour les machines physiques Windows, nous vous suggérons d’activer BitLocker. Vous pouvez trouver plus d’informations sur cette technologie ici.

En ce qui concerne les NAS, chaque fabricant a un système de gestion propriétaire, de sorte que la procédure pour activer le cryptage diffère grandement. La vidéo suivante provient de la société populaire QNAP, qui propose une solution conviviale pour crypter les volumes :

Cryptez les bases de données

Toutes les principales solutions de base de données ont la possibilité de crypter les « données au repos », c’est-à-dire les fichiers db stockés sur un disque physique ou virtuel. Cela permet de protéger leur contenu et donc les personnes concernées au cas où les fichiers db tomberaient entre de mauvaises mains.

Vous trouverez ici un guide sur les fonctionnalités de cryptage de Microsoft SQL Server.

Comme nous l’avons déjà expliqué plus haut, le cryptage des fichiers de base de données ne suffit pas à assurer la protection des données. Mettre régulièrement à jour le moteur, restreindre la gestion des db à une liste d’IP, édicter des politiques strictes pour l’accès des administrateurs, adopter des mots de passe forts et les changer souvent sont autant de bonnes pratiques pour éviter les accidents désagréables et peuvent être considérées comme des mesures de mise en conformité avec le RGPD.

Chiffrez les données avec Uranium Backup

Uranium Backup permet de crypter toutes les données sauvegardées dans une destination commune pour sauvegarder des données dans des référentiels distants comme une destination cloud, nous vous suggérons d’effectuer des sauvegardes en chaîne dans des référentiels distants comme une destination cloud.

Les données doivent être compressées au format zip, en suivant la procédure expliquée dans les captures d’écran ci-dessous :

Le mot de passe de cryptage doit être spécifié avant d’exécuter la sauvegarde, vous le trouverez dans l’option générale d’Uranium Backup. Au cas où vous auriez oublié de le configurer, Uranium utilisera un mot de passe généré automatiquement et il sera toujours possible de récupérer les données du même client qui a effectué le cryptage, en utilisant l’utilitaire de restauration (mais vous ne pourrez pas récupérer les données d’un autre client Uranium et vous serez exposé à des pertes de données en cas de défaillance de la machine de sauvegarde) :