Connaissez-vous vos responsabilités liées au RGPD ?
Dans le cadre du RGPD, les entreprises ont l’obligation d’assurer la sécurisation maximale des données, et de documenter les localisations, traitements et accès qui y sont liés.
Article 32 - Sécurité du traitement
1. Compte tenu de l’état des connaissances, des coûts de mise en oeuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel; b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique; d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
Recommandations de la CNIL
- Disposer de sauvegardes « hors ligne » des données, à jour et testées
- Segmenter le système d’informations selon des zones présentant chacune un niveau
de sécurité homogène - Mettre à jour les principaux outils utilisés
- Mettre en œuvre un mécanisme de détection de l’altération massive des fichiers
- Limiter les droits d’écriture sur les serveurs de fichiers
Racket au RGPD
Grâce au RGPD, les attaquants disposent d’un levier de pression supplémentaire. Leur nouvel angle d’attaque est de menacer les entreprises de divulguer les données à caractère personnel qu’elles hébergent, afin de les exposer à de lourdes amendes. Certaines directions préféreront ainsi payer une rançon, souvent inférieure à une amende pouvant aller jusqu’à 4% du chiffre d’affaire en cas de perte de données à caractère personnel.
Nutanix Files, des serveurs de fichiers simples, élastiques et intelligents
Nutanix Files est le service natif de serveurs de fichiers de Nutanix. Il permet de déployer, maintenir et auditer des serveurs de fichiers de façon simple et intuitive.
L’architecture Nutanix Files se compose d’un cluster de VM (FSVM), et d’une VM Files Analytics (AVM). Cette VM est en charge de collecter les events et d’auditer les processus qui génèrent des transactions au niveau fichier. Elle remonte en temps réel les éventuelles alertes relatives à votre stratégie de compliance RGPD, ou de lutte contre les ransomwares. Elle génère également des statistiques concernant les activités, la consommation, et la gestion des activités refusées sur vos serveurs de fichiers.
Contrôler l’accès à la donnée
Chaque organisation est responsable des données qu’elle traite, notamment des données à caractère privé. Il est de leur responsabilité de s’assurer que ces
données ne sortent pas de l’organisation, et ne soient pas exploitées à des fins non consenties.
Nutanix Files historise l’accès, et le traitement des données sur une année glissante. Il est ainsi possible de monitorer, d’analyser, et si nécessaire, de fournir des rapport d’accès aux données stockées sur vos serveurs de fichiers.
Pouvez-vous localiser toutes vos données ?
En cas de contrôle, vous devez pouvoir fournir la localisation de l’ensemble de vos groupes de données stockés à l’extérieur de votre organisation. Nutanix Data Lens répertorie l’ensemble des lieux de stockage de vos données externalisées en datacenter, ou cloud public.