Vous êtes dans : Accueil > Actualités > E-Santé >

Taguer les postes à risques

DSIH, Propos recueillis par Valentine Bellanger , LUNDI 11 DéCEMBRE 2017 Soyez le premier à réagirSoyez le premier à réagir

Le RGPD est partout. En véritable star, il a sa page Wikipédia et son compte Twitter. Applicable à compter du 25 mai 2018 dans les 28 pays de l’Union européenne, il alimente les discussions et fait couler beaucoup d’encre. Il a ses fervents défenseurs et ses détracteurs. DPO, Privacy by Design, sanctions… ses obligations et son cadre strict inquiètent souvent les structures. Les études semblent démontrer que peu d’entre elles seront prêtes en mai 2018. Pourtant, des mesures existent. Entretien avec Marion Godefroy, Marketing and Communication Manager chez ITrust.

DSIH : Les structures sont-elles suffisamment informées ? Les sentez-vous inquiètes ?

Marion Godefroy : Oui, on sent clairement sur le terrain que les entreprises sont inquiètes. Nous avons une demande croissante de formation au RGPD, d’audit de conformité et d’accompagnement. Toutes les structures du secteur privé et du secteur public sont concernées. Certaines pensent ne pas être impactées. Malheureusement, elles le sont toutes à plus ou moins grande échelle. À partir du moment où vous gérez un fichier avec des données à caractère personnel (nom, adresse, date de naissance…), informations qui permettent d’identifier un individu, vous devrez obligatoirement être en conformité avec le règlement.

Pour les établissements de santé qui génèrent des millions de données sensibles, la tâche est pharaonique. Comment aidez-vous les structures à s’y préparer ?

Nous avons élaboré une proposition d’accompagnement en quatre étapes : la formation au RGPD, l’audit de conformité au RGPD, l’accompagnement à la mise en conformité et, enfin, l’accompagnement à la communication interne comme externe de la mise en conformité puisqu’il faut non seulement protéger les données, mais aussi être en capacité de prouver à l’autorité compétente que toutes les mesures ont été prises pour les sécuriser ! En cas de fuite de données, l’autorité compétente est en droit de demander des comptes, et l’établissement doit pouvoir prouver qu’il a tout fait pour sécuriser les données en sa possession.

Ikare, votre scanner de vulnérabilité, permet de réduire de 90 % le risque de piratage. Une aide de poids dans la mise en conformité !

Tout à fait. Ikare évalue en continu le niveau de sécurité du parc informatique ainsi que les équipements contenant des données sensibles. Dans notre solution, nous avons implémenté des « tags RGPD », à savoir la possibilité pour les structures de « taguer » leurs machines qui traitent les données sensibles et les données à caractère personnel. Ainsi, Ikare va cartographier les vulnérabilités présentes sur le parc, et les postes les plus à risques seront identifiés, puis dotés d’un coefficient plus important qui impactera fortement la note finale. De plus, Ikare établit régulièrement des rapports concernant la vulnérabilité du système informatique qui peuvent servir de preuve en cas de contrôle des autorités compétentes. Pour rappel, la Cnil, l’autorité de contrôle en France, se base sur le guide d’hygiène établi par l’Anssi*.

Que contient ce guide ?

On y retrouve 42 règles. Ikare permet de répondre à un certain nombre d’entre elles. La liste n’est pas exhaustive mais, à titre exemple, la solution identifie la connexion d’appareils étrangers au système d’information (règle 7) et détecte aussi bien les mots de passe triviaux actifs sur le réseau que les mots de passe par défaut sur les équipements et les services (règles 10 et 12). Elle peut également scanner la sécurité des équipements impliqués dans le wi-fi (règle 20) et déceler en mode authentifié les problèmes d’obsolescence de la grande majorité des composants (règle 34).

https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/ 

Retrouvez également les neuf conseils d’ITrust sur https://www.itrust.fr/rgpd-9-conseils-itrust 
Pour en savoir plus :

Godefroy Marion, Marketing and Communication Manager 
E-mail : mgodefroy@itrust.fr 


www.itrust.fr    

RGPD, itrust , ikare, sécurité, ssi, formation