Microsoft présente ses solutions de conformité au RGPD

Afin d'aider les entreprises à réduire les risques en matière de conformité

Le vendredi 25 mai, le règlement général de l'Union européenne sur la protection des données va officiellement entrer en vigueur. Le Règlement Général sur la Protection des Données impose de nouvelles règles aux entreprises, organismes gouvernementaux, organisations à but non lucratif et autres organisations proposant des biens et services aux personnes de l’Union européenne (UE) ou collectant et analysant des données associées aux résidents de l’UE.

Après différentes entreprises parmi lesquelles Facebook, c’est au tour de Microsoft de présenter au public son engagement dans la conformité avec le RGPD.

« Nous nous engageons à nous assurer que nos produits et services sont conformes au RGPD. C'est la raison pour laquelle plus de 1 600 ingénieurs de l'entreprise ont travaillé sur des projets RGPD. Depuis sa promulgation en 2016, nous avons réalisé d'importants investissements pour redéfinir nos outils, systèmes et processus afin de répondre aux exigences du GDPR. Aujourd'hui, la conformité GDPR est profondément ancrée dans la culture de Microsoft et intégrée dans les processus et les pratiques qui sont au cœur de la manière dont nous construisons et fournissons des produits et services », assure l’éditeur de Microsoft.

Et de continuer en disant que « Nous sommes satisfaits de ce que nous avons accompli jusqu'à présent. Mais nous savons que le 25 mai n'est pas la fin de notre travail. Au lieu de cela, c'est le début de la prochaine phase de notre concentration sur le RGPD. Le fait est que ce cadre réglementaire complexe est aussi nouveau pour les organismes de réglementation de la protection de la vie privée que pour nous. L'interprétation continue des aspects détaillés de ce règlement déterminera les mesures que nous devrons tous prendre pour maintenir la conformité. Comme nos clients utilisent nos outils et expérimentent d'autres fonctionnalités, nous allons également prendre en considération leurs commentaires et suggestions d'amélioration. Parce que les interprétations réglementaires changent avec l'expérience et les circonstances changeantes au fil du temps, nous évaluerons constamment nos produits, services et utilisations de données à mesure que la compréhension du RGPD évoluera ».


Que prévoit Microsoft concrètement ?

Azure

Ici, Microsoft indique qu’Azure vous permet de gérer les identités et informations d’identification des utilisateurs et de contrôler l’accès à vos données de plusieurs façons :

• Azure Active Directory contribue à garantir que seuls les utilisateurs autorisés ont accès à vos environnements informatiques, vos données et vos applications. Il fournit des outils tels que Multi-Factor Authentication pour une ouverture de session hautement sécurisée. En outre, AAD Privileged Identity Management contribue à réduire le risque associé aux privilèges d’accès administrateur au moyen du contrôle, de la gestion d’accès et de la génération de rapports.
• Microsoft Azure Information Protection contribue à garantir que vos données sont identifiables et sécurisées, ce qui est une exigence clé du Règlement Général sur la Protection des Données, peu importe leur emplacement de stockage ou la façon dont elles sont partagées. Vous pouvez classer, étiqueter et protéger les données nouvelles ou existantes, les partager en toute sécurité avec autrui au sein ou en dehors de votre entreprise, assurer le suivi de leur utilisation et même révoquer l’accès à distance. Azure Information Protection inclut également des fonctionnalités enrichies de journalisation et de génération de rapports pour surveiller la distribution des données, et des options pour gérer et contrôler vos clés de chiffrement.

Les services et outils Azure ci-dessous vous aident à remplir ces obligations du Règlement général sur la protection des données :

• Azure Security Center vous offre visibilité et contrôle sur la sécurité de vos ressources Azure. Il surveille en continu vos ressources, fournit des recommandations de sécurité utiles et vous aide à empêcher, détecter les menaces et y répondre. Les fonctionnalités d’analyses avancées intégrées d’Azure Security Center vous aident à identifier les attaques qui pourraient, sans cet outil, ne pas être détectées.
• Le chiffrement des données dans Azure Storage sécurise vos données au repos et en transit. Vous pouvez, par exemple, chiffrer automatiquement vos données lorsqu’elles sont écrites dans Azure Storage à l’aide du chiffrement du service Azure Storage. En outre, vous pouvez utiliser Azure Disk Encryption pour chiffrer les disques de données et de systèmes d’exploitation utilisés par les machines virtuelles. Les données sont protégées en transit entre une application et Azure de façon à ce qu’elles demeurent sécurisées à tout moment.
• Azure Key Vault vous permet d’assurer la sécurité des clés de chiffrement, certificats et mots de passe qui protègent vos données. Key Vault utilise des modules de sécurité matériels et est conçu de façon à assurer le contrôle de vos clés et par conséquent de vos données, incluant notamment la garantie que Microsoft n’a pas accès à vos clés ou ne peut pas les extraire. Vous pouvez surveiller et auditer l’utilisation de vos clés stockées à l’aide de la journalisation Azure, et importer vos journaux dans Azure HDInsight ou votre système de gestion des informations et des événements de sécurité (SIEM) pour effectuer une analyse supplémentaire et détecter les menaces.
• Log Analytics : Azure fournit des options configurables d’audit et de journalisation qui peuvent vous aider à identifier les lacunes dans vos stratégies de sécurité et à y remédier en vue d’empêcher les violations. En outre, Log Analytics vous aide à collecter et analyser les données générées par des ressources dans votre environnement cloud ou sur site. Il fournit des informations en temps réel à l’aide de la recherche intégrée et de tableaux de bord personnalisés pour analyser rapidement des millions d’enregistrements des charges de travail et serveurs quel que soit leur emplacement physique.

Windows 10 et Windows Server 2016

Les fonctionnalités de sécurité actuellement disponibles dans Microsoft Windows 10 et Windows Server 2016 peuvent vous aider à réduire les risques et à assurer la mise en conformité avec le Règlement général sur la protection des données. Une exigence clé du Règlement général sur la protection des données consiste à protéger les données à caractère personnel. Microsoft considère qu’une sécurité efficace doit être mise en œuvre de bout en bout, des postes de travail aux serveurs sur lesquels résident les données. Windows 10 et Windows Server 2016 incluent des technologies de chiffrement et anti-malware de pointe, des solutions de gestion des identités et des accès qui vous permettent de passer d’une authentification par mot de passe à d’autres formes d’authentification plus sécurisées :

• Windows Hello est une alternative pratique, de qualité professionnelle aux mots de passe qui utilise une méthode naturelle (biométrie) ou familière (code confidentiel) pour confirmer votre identité, en offrant les avantages de sécurité des cartes à puce sans disposer de périphériques supplémentaires.
• Windows Defender est une solution fiable anti-programme malveillant (ou malware) prête à l’emploi qui vous permet d’assurer votre sécurité. Windows Defender détecte rapidement les programmes malveillants émergents et vous protège. Il protège immédiatement vos appareils lorsqu’une menace est détectée dans votre environnement.
• Windows Defender Advanced Threat Protection (ATP) fournit aux équipes d’opérations de sécurité des capacités avancées de détection et d’enquête des violations ainsi que de réponse à ces dernières dans tous vos points de terminaison, avec jusqu’à six mois d’historique des données. Windows Defender ATP contribue à répondre à une exigence principale du Règlement Général sur la Protection des Données selon laquelle les entreprises doivent avoir des procédures claires pour détecter, enquêter et signaler les violations de données.
• Device Guard vous permet de verrouiller vos appareils et serveurs pour les protéger contre les variantes nouvelles ou inconnues de programmes malveillants et les menaces avancées et persistantes. Contrairement aux solutions basées sur la détection, telles que les antivirus qui doivent être mis à jour constamment pour détecter les menaces les plus récentes, Device Guard verrouille les appareils de façon à ce que seules les applications sélectionnées autorisées s’exécutent. Cela constitue un moyen efficace de combattre les programmes malveillants.
• Credential Guard est une fonctionnalité qui isole vos secrets sur un appareil, tels que les jetons d’authentification unique, de l’accès et ce, même si le système d’exploitation Windows est compromis. Cette solution empêche fondamentalement l’utilisation d’attaques difficiles à contrer telles qu’une attaque « Pass the Hash ».
• BitLocker Drive Encryption dans Windows 10 et Windows Server 2016 fournit une fonctionnalité de chiffrement de qualité professionnelle pour protéger vos données en cas de perte ou de vol d’un appareil. BitLocker chiffre entièrement les mémoire flash et disques de votre ordinateur pour empêcher les utilisateurs non autorisés d’accéder à vos données.
• Windows Information Protection prend la relève là où BitLocker s’arrête. BitLocker protège l’intégralité du disque d’un appareil et Windows Information Protection protège vos données contre les utilisateurs non autorisés et les applications exécutées sur un ordinateur. Il permet également d’empêcher la fuite de données vers des emplacements sur le Web ou rendant publics des documents professionnels.
• Shielded Virtual Machines vous permet d’utiliser BitLocker pour chiffrer les disques et les machines virtuelles exécutés sur Hyper-V pour empêcher les administrateurs compromis ou malveillants d’attaquer les contenus de machines virtuelles protégées.
• Just Enough Administration et Just in Time Administration permettent aux administrateurs d’effectuer leurs tâches régulières, tout en limitant l’étendue et la durée des fonctionnalités qu’ils peuvent exécuter. Si des informations d’identification privilégiées sont compromises, l’étendue du dommage est très limitée. Cette technique fournit aux administrateurs uniquement le niveau d’accès dont ils ont besoin pendant la durée du projet.

Enterprise Mobility + Security (EMS)

EMS inclut des technologies de sécurité basées sur l’identité qui vous aident à découvrir, contrôler et protéger les données à caractère personnel détenues par votre...