Comment découvrir les données soumises au GDPR avec Varonis
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir...
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.
Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.
Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !
Comment identifier mes données concernées par le GDPR ?
Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).
La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).
Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.
Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.
L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.
Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.
Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.
Comment trouver les nouvelles données concernées par le GDPR ?
Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.
Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.
Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
Share this blog post with someone you know who'd enjoy reading it. Share it with them via email,LinkedIn,Reddit, or Facebook.
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
Derrière la refonte de la marque Varonis
Courtney Bernard
20 février 2024
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Lexi Croisdale
25 janvier 2024
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Shane Walsh
14 novembre 2023
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).
Comment découvrir les données soumises au GDPR avec Varonis
Contenu
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.
Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.
Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !
Comment identifier mes données concernées par le GDPR ?
Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).
La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).
Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.
Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.
L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.
Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.
Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.
Comment trouver les nouvelles données concernées par le GDPR ?
Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.
Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.
Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.