Comment découvrir les données soumises au GDPR avec Varonis

Découvrir

Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.

Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.

evaluation gdpr

Extrait des données concernées par le GDPR obtenues dans le cadre d’une Évaluation de l’état de préparation au GDPR

Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !

survey gdpr

Comment identifier mes données concernées par le GDPR ?

Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).

La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).

Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.

Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.

classification gdpr

Exemple de correspondances de classification de données concernées par le GDPR – Allemagne

L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.

Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.

Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.

Comment trouver les nouvelles données concernées par le GDPR ?

Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.

Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.

Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.