De l’importance de séparer réseau privé et réseau public à l’heure de la conformité RGPD
Toutes les entreprises et organisations sont tournées aujourd’hui vers le 25 mai 2018 (enfin espérons-le), date à laquelle elles devront être conformes avec le Règlement Général de la Protection Des Données.
Si le règlement repose sur le droit fondamental pour chaque citoyen sur le sol européen à la protection de sa vie privée et de ses données personnelles et donc implique des obligations en termes de collecte et des droits d’accès, de rectification ou suppression et d’opposition, il engendre également des obligations de sécurisation informatiques des données.
Pour remédier aux risques de perte, de vol ou divulgation des données hébergées dans l’entreprise, les entreprises doivent obligatoirement diagnostiquer les risques d’accès au réseau interne de l’entreprise en étudiant les pratiques courantes qui facilitent le quotidien mais font fi des règles de sécurité. Un firewall ne suffit pas. Quoi de plus facile en effet de laisser un fournisseur, un client se connecter au réseau de l’entreprise en lui donnant le SSID du Wi-Fi ou bien le connecter avec un câble Ethernet.
Il est alors indispensable pour l’administrateur réseau de scinder le réseau interne de l’entreprise d’un accès disponible pour les invités. Sans vouloir être malveillant, l’invité peut se connecter avec un équipement infecté par un malware pouvant affecter l’intégrité des données personnelles sur le réseau interne de l’entreprise.
On veillera donc à utiliser les fonctions réseaux comme :
– la création de plusieurs SSID pour dissocier réseau privé et réseau public
– les différentes techniques d’identification des utilisateurs,
– le paramétrage de connexion et déconnexion du Wi-Fi,
– la création de réseaux privés virtuel au sein même du réseau interne pour que le réseau interne ne soit pas en open bar.
On n’oubliera pas non plus de veiller à la mise à jour continuelle des équipements qui intègre régulièrement des correctifs au niveau sécurité. Mais la sécurité étant une matière vivante, il faut également veiller à mettre en place des dispositifs de gestion du réseau fournissant des alertes en cas d’intrusion, de matériel défaillant ou de toute anomalie sur le réseau pouvant porter atteinte à l’intégrité des données.
Pour être conforme RGDP, le réseau informatique des entreprises et des organisations quelle que soit leur taille ne peut plus être une simple multiprise interconnectant les utilisateurs. Il doit être un réseau.
Commentaires récents