Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Comment découvrir les données soumises au GDPR avec Varonis

Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir...
Michael Buckbee
3 minute de lecture
Publié 13 avril 2018
Dernière mise à jour 29 octobre 2021

Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.

Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.

evaluation gdpr
Extrait des données concernées par le GDPR obtenues dans le cadre d’une Évaluation de l’état de préparation au GDPR

Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !

survey gdpr

Comment identifier mes données concernées par le GDPR ?

Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).

La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).

Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.

Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.

classification gdpr
Exemple de correspondances de classification de données concernées par le GDPR – Allemagne

L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.

Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.

Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.

Comment trouver les nouvelles données concernées par le GDPR ?

Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.

Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.

Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.

 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).