Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.
Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.
Extrait des données concernées par le GDPR obtenues dans le cadre d’une Évaluation de l’état de préparation au GDPR
Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !
Comment identifier mes données concernées par le GDPR ?
Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).
La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).
Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.
Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.
Exemple de correspondances de classification de données concernées par le GDPR – Allemagne
L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.
Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.
Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.
Comment trouver les nouvelles données concernées par le GDPR ?
Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.
Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.
Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
Share this blog post with someone you know who'd enjoy reading it. Share it with them via email,LinkedIn,Reddit, or Facebook.
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Shane Walsh
14 novembre 2023
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).
Varonis domine le marché de la DSPM selon la plateforme Peer Insights de Gartner
Avia Navickas
9 novembre 2023
En tant que leader dans le secteur de la sécurité des données, la société Varonis est fière d’être en tête du classement de Gartner pour la catégorie Gestion de la posture en matière de sécurité des données (DSPM).
Avantages et risques : l'implication de l'IA générative pour la sécurité
Lexi Croisdale
7 novembre 2023
Alors que l’IA gagne en popularité, les risques liés à l’utilisation de cette technologie suscitent des inquiétudes. Découvrez les avantages et les risques liés à l’utilisation de l’IA générative.
L'IA dans le monde professionnel : trois étapes pour préparer et protéger votre entreprise
Yaki Faitelson
3 novembre 2023
Découvrez comment votre entreprise peut se préparer et protéger vos données sensibles contre les risques que présente l’IA générative.
Comment découvrir les données soumises au GDPR avec Varonis
Contenu
Le GDPR entre en vigueur dans moins de 40 jours, mais vous avez encore le temps de vous y préparer. La première étape pour se préparer à l’échéance à venir consiste à découvrir et classer vos données concernées par le GDPR.
Il n’est pas rare que nos clients possèdent bien plus de données visées par le GDPR qu’ils ne le pensaient, et parfois ils ne savaient même pas qu’elles existaient. Une Évaluation de l’état de préparation au GDPR réalisée récemment pour une société d’assurance de taille moyenne a apporté des résultats édifiants. Dans l’exemple ci-dessous, nous avons étudié un seul dépôt de données contenant 12 To de données réparties dans plus de 20 millions de fichiers conservés dans 1,36 million de dossiers.
Dans ce seul dépôt de données, nous avons trouvé plus de 15 000 fichiers contenant des données sensibles visées par le GDPR. 90 % des fichiers qui contenaient des données allemandes (des numéros de passeport, numéros de carte d’identité allemands, etc.) étaient accessibles à toute l’entreprise… et les données allemandes étaient celles qui étaient les mieux protégées. Dans le cas de la France, de l’Espagne et de la Suède, c’est 100 % des données qui étaient exposées !
Comment identifier mes données concernées par le GDPR ?
Découvrir et classer les données qui sont concernées par le GDPR peut être difficile – si difficile en fait que pour y parvenir nous avons créé des schémas spécifiques au GDPR en complément de notre moteur de classification (Data Classification Engine).
La plate-forme de sécurité des données Varonis cartographie vos dépôts de données afin que vous puissiez surveiller et analyser les données qui doivent être conformes au GDPR. Cette carte précise les dossiers et droits de tous les volumes de stockage susceptibles de contenir des données confidentielles concernées par le GDPR, d’un serveur NetApp jusqu’à EMC Isilon et de Windows à Office 365 (et supérieur).
Une fois que vous disposez d’une carte des données, vous pouvez commencer à analyser ces fichiers pour y trouver les données concernées par le GDPR. On peut en trouver dans des documents Word, des feuilles de calcul, des fichiers de Bloc-notes et même des fichiers XML. Notre Data Classification Engine fonctionnant indépendamment du type de fichier, nous pouvons trouver les données même si elles sont compressées.
Les Varonis GDPR Patterns contiennent plus de 280 schémas et regex correspondant aux données visées par le GDPR pour les 28 pays de l’UE. Les GDPR Patterns identifient et repèrent les données qui ressemblent à un numéro IBAN, de sécurité sociale, passeport, carte d’identité personnelle, TVA, téléphone portable, plaque d’immatriculation, contribuable, etc. Vous pourrez examiner les résultats dans la console DatAdvantage, ils y seront signalés par une étiquette de catégorie GDPR.
L’analyse de tous vos dépôts de données non structurées peut prendre plusieurs semaines en utilisant le système 24h/24 et 7 jours/7. Vous gagnerez du temps en augmentant la puissance de traitement. Vous pouvez également répartir le travail sur plusieurs collectors Varonis pour multiplier le nombre de processeurs utilisés. Plus il y en aura, mieux ce sera ! Et pas d’inquiétude, le collector plafonne la puissance de traitement utilisée par Data Classification Engine, donc l’impact sur les performances est minimal et le reste du système d’exploitation peut continuer de fonctionner normalement.
Sur un système à 8 processeurs, Data Classification Engine peut analyser environ 100 Go de données à l’heure sur chaque collector Varonis. Par jour, cela fait 2,4 To de données par collector.
Note : ces chiffres sont basés sur nos tests internes, vos performances peuvent varier légèrement.
Comment trouver les nouvelles données concernées par le GDPR ?
Data Classification Engine continue d’analyser vos données au terme de l’analyse initiale, de fait, les utilisateurs mettront à jour et ajouteront des données plus rapidement que vous ne pourrez les verrouiller. Varonis actualise chaque jour le dossier et la carte des droits précédemment mentionnés (ou toute fonctionnalité configurée par vos soins) puis ajoute les dossiers modifiés dans la file d’attente afin qu’ils soient de nouveau analysés. Data Classification Engine ne s’arrête pas, ne connaît ni pitié ni remords, trouve toutes les données concernées par le GDPR et continue son travail sans relâche.
Une fois que vous avez découvert vos données concernées par le GDPR, vous devez déterminer qu’en faire (comment les gérer, les traiter et les signaler), ce dont je parlerai dans les prochains billets de cette série.
Si vous savez déjà que vous devez vous préparer au GDPR, dressez un état des lieux en demandant une Évaluation gratuite de l’état de préparation au GDPR. Nous procéderons à l’évaluation de votre situation et vous présenterons un rapport mettant en évidence les données concernées par le GDPR, les vulnérabilités potentielles et les stratégies à mettre en place pour protéger ces données.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
Michael Buckbee
Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.