Guide de gestion de la confidentialité des données et les 8 meilleurs outils
Les normes et la législation en matière de confidentialité des données compliquent les opérations commerciales modernes. Les règles sont particulièrement strictes en matière d'utilisation et de gestion des informations relatives aux particuliers. Vous devez protéger ce type de données contre le vol ou la fuite accidentelle. Vous devez également être conscient qu'il existe un nombre limité d'utilisations que vous pouvez mettre en œuvre avec ces données et que vous devez être en mesure de suivre tous les événements d'accès.
Les problèmes de gestion de la confidentialité des données couvrent également l'intégrité des données . Vous devez permettre aux membres du public de savoir quelles données vous détenez sur eux, où elles sont stockées et comment elles seront utilisées. Vous devez également vous assurer que toutes les informations sont correctes et ne peuvent pas être perdues accidentellement.
Voici notre liste des huit meilleurs outils de gestion de la confidentialité des données :
- SolarWinds Security Event Manager CHOIX DE L'ÉDITEUR Un service de gestion des journaux et de sécurité SIEM avec gestion automatisée des risques et audit de conformité. Il fonctionne sur Windows Server. Obtenez un essai gratuit de 30 jours.
- StandardFusion Un package cloud d'évaluation des risques et d'audit de conformité avec un gestionnaire de conformité automatisé.
- Gouvernance, risque et conformité de ServiceNow Un système de gestion de la confidentialité des données basé sur le cloud, lié à un système de centre de services et à des outils de gestion de projet.
- Intelligence des risques N-able Un outil d'évaluation des vulnérabilités basé sur le cloud avec un système de découverte de données et un analyseur d'autorisations.
- ManageEngine DataSecurity Plus Un ensemble de services de gestion de données comprenant des procédures de découverte et de catégorisation, un scanner de vulnérabilités et un gestionnaire d'intégrité des fichiers. Il fonctionne sur Windows Server.
- Gestionnaire de données sensibles Spirion Un gestionnaire de confidentialité des données avec des processus de découverte et de classification des données et des services de protection des fichiers. Il s'agit d'un service basé sur le cloud avec des agents sur site pour Windows, macOS et Linux.
- Protection des informations Azure Un gestionnaire de données sensibles basé sur le cloud qui suit l'accès aux fichiers et gère leurs mouvements.
- Acronis CyberProtect Un package qui comprend un scanner de vulnérabilités, un système de sauvegarde de données et un module de prévention contre la perte de données. Il fonctionne comme une appliance virtuelle.
Législation sur la confidentialité des données
PCI DSS est le Norme de sécurité des données du secteur des cartes de paiement . Cela s’applique uniquement aux entreprises opérant aux États-Unis et constitue une norme obligatoire pour toute entreprise qui gère les paiements par carte de crédit ou de débit. HIPAA est le Loi sur la portabilité et la responsabilité en matière d'assurance maladie . Il couvre la protection de « Informations de santé protégées » (PHI), ce qui signifie les données relatives aux individus traitées au sein du secteur de la santé.
Les membres du grand public peuvent être suivis par « Informations personnellement identifiables » (PII). Les fuites d’informations personnelles peuvent conduire à des demandes d’indemnisation pour toutes les personnes ayant divulgué des données liées, ce qui peut s’avérer très coûteux pour les entreprises.
L'UE Règlement Général sur la Protection des Données (RGPD) établit une norme de protection attendue pour les informations personnelles. Le RGPD stipule qu'une entreprise qui ne protège pas correctement les informations personnelles peut se voir infliger une amende pouvant aller jusqu'à 4 % de son chiffre d'affaires. C’est par événement de fuite. Les lois RGPD permettent également aux individus de se regrouper et de lancer des recours collectifs contre les entreprises qui divulguent leurs données.
Une autre recommandation juridique de l’UE intégrée dans les lois du RGPD des États membres est la suivante : Directive sur la vie privée et les communications électroniques . C’est de là que vient l’exigence du consentement aux cookies. Ensemble, le RGPD et la directive ePrivacy créent un véritable casse-tête pour les entreprises qui détiennent des informations personnelles au format numérique : les données n'ont pas besoin d'être collectées sur le Web pour être incluses dans ces lois.
Ces normes de confidentialité des données obligent les entreprises à mettre en œuvre un Demande d'accès à la personne concernée (DSAR) mécanisme. Cela permet aux membres du public de demander des copies de toutes les informations contenues dans un système les concernant. Ils ont le droit de demander que les erreurs soient corrigées et d'exiger que les informations personnelles soient supprimées.
L’UE n’est pas la seule région au monde où les questions de confidentialité des données ont été codifiées dans la loi. La principale norme qui reflète le RGPD actuellement en vigueur est la Loi californienne sur la protection de la vie privée des consommateurs (CCPA). Cependant, les États-Unis ont des réglementations concernant les PHI et les informations sur les cartes, grâce à HIPAA et PCI DSS. Les autres domaines d’utilisation des informations personnelles n’étaient pas réglementés. Le CCPA comble ces lacunes.
Le Brésil Loi générale sur la protection des données (LGPD) stipule une exigence pour la protection des informations personnelles. Au Canada, le Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est en vigueur comme un système de type RGPD. La version sud-africaine s’appelle la Loi sur la protection des renseignements personnels (POPIE).
D’autres endroits dans le monde rattrapent leur retard en matière de législation sur la confidentialité des données. La prochaine loi qui sera lancée aux États-Unis dans ce domaine est la Loi sur la protection des données des consommateurs (CDPA) en Virginie, qui entrera en vigueur en 2023. De nombreuses autres régions du monde élaborent actuellement leurs lois sur la confidentialité des données, notamment l'Inde, le Chili et la Chine.
Faire face aux obligations de confidentialité des données
Bien qu’il existe de nombreux textes législatifs différents en vigueur ou dont le lancement est prévu, ils présentent tous des points communs. La base est que les données doivent être protégées contre divulgation , perte , ou envoyé et qu'il devrait y avoir un mécanisme pour informer le grand public sur la manière dont leurs données seront stockées et utilisées, ainsi qu'un moyen pour eux d'interroger leurs enregistrements PII.
Un gros problème avec toutes ces différentes lois est qu’elles ne s’appliquent pas à l’emplacement de l’entreprise détentrice de données, elles concernent la localisation de la personne sur quoi portent les données. Ainsi, même si votre entreprise est basée dans une région sans loi locale sur la protection de la vie privée, comme le Sri Lanka, vous devrez vous conformer à toutes les lois du monde si vous possédez un site Web.
Il existe un moyen de contourner toutes ces lois. Il s’agit de ne pas conserver de données sous forme électronique sur les individus. Une autre option consiste à décider de ne faire aucune affaire avec les consommateurs dans les pays dotés de lois sur la protection de la vie privée. Donné le caractère mondial du World Wide Web, vous obtiendrez des visiteurs de personnes travaillant dans ces entreprises si vous avez un site Web. Encore une fois, il existe un moyen de contourner ce problème : il suffit de bloquer l’accès aux personnes physiquement situées dans une région du monde où la loi sur la protection de la vie privée est en vigueur. Vous pouvez autoriser l'accès au site mais bloquer l'accès à toute fonction de collecte de données.
Le problème avec la décision de se retirer uniquement des activités dans les domaines régis par les lois sur la protection de la vie privée est qu’elles ont tendance à couvrir des marchés très lucratifs.
Outils de gestion de la confidentialité des données
Vous n’avez pas besoin de couper les liens de votre entreprise avec ses marchés les plus lucratifs. Heureusement, il existe de nombreuses similitudes entre tous les systèmes existants et émergents. normes de confidentialité des données . Il est possible d'introduire une solution de gestion de la confidentialité des données et de maintenir votre entreprise en activité légalement dans tous les endroits couverts par les lois sur la confidentialité. À mesure que de plus en plus de pays introduisent une législation sur la confidentialité des données, une stratégie visant à éviter ces obligations réduira continuellement les domaines d’activité de votre entreprise.
Les outils de gestion de la confidentialité des données répondent à toutes les exigences des lois et normes du monde entier. Ceux-ci vous permettent de commercer avec le monde tout en restant légal. La gestion de la confidentialité des données comporte plusieurs phases auxquelles vous devez prêter attention. Ces tâches sont regroupées sous l’abréviation « GRC .» Cela représente gouvernance, gestion des risques et conformité .
Gouvernance fait référence aux contrôles d'audit et d'accès que vous devez mettre en place pour suivre toutes les actions sur les données sensibles. La gestion des risques décrit l'identification des données qui doivent être protégées et un processus de classification qui classe différents types de données selon que leur dommage, leur perte ou leur divulgation aura des conséquences graves.
Tous les problèmes de risque ne concernent pas les données couvertes par les lois et normes sur la confidentialité des données. Votre entreprise aura secrets commerciaux , comme des pratiques de travail qui lui confèrent un avantage concurrentiel, la recherche de produits nouveaux et innovants et des listes de prix qui ne s'appliquent qu'à des clients spécifiques. La divulgation de ces informations n’entraînerait pas d’amende, mais pourrait sérieusement nuire aux avantages concurrentiels de l’entreprise.
Le conformité Une partie du GRC fait référence à la conformité à des normes particulières qui s'appliquent aux types de données que l'entreprise détient. Les exigences de conformité incluent un audit externe, qui nécessite une conservation approfondie des journaux, des contrôles d'accès, des procédures d'atténuation des pertes de données, des rapports sur l'utilisation des données et primaire processus.
Pendant les opérations en cours, vous aurez besoin d'outils de sécurité et de gestion des données pour restreindre et suivre l'accès aux magasins de données et bloquer les activités malveillantes.
Les meilleurs outils pour la gestion de la confidentialité des données
La gestion de la confidentialité des données implique une gamme d’outils. Certains fournisseurs parviennent à regrouper à peu près tous les outils dont vous aurez besoin pour protéger adéquatement les données contre la perte ou l'utilisation abusive tout en les rendant disponibles pour des processus commerciaux légitimes.
Que devez-vous rechercher dans un système de gestion de la confidentialité des données ?
Nous avons examiné le marché des outils de gestion de la confidentialité des données et analysé les options en fonction des critères suivants :
- Un ensemble proposant des services liés comprenant de nombreux outils nécessaires à la gestion de la confidentialité des données.
- Un tableau de bord facile à utiliser qui comprend une interprétation graphique des données pour une reconnaissance rapide de l'état
- Un système qui comprend des processus de surveillance automatisés
- Outils de sécurité incluant la gestion de l’intégrité des fichiers
- Systèmes de protection des données dotés de fonctions de sauvegarde et de restauration
- Une opportunité d'évaluation offerte par un essai gratuit ou une garantie de remboursement
- Rapport qualité-prix fourni par autant d'outils nécessaires à la gestion de la confidentialité des données dans un seul ensemble
En tenant compte de ces exigences, nous avons dressé une liste de systèmes pratiques qui vous aideront à gérer facilement la confidentialité des données.
Vous pouvez en savoir plus sur chacune de ces solutions de gestion de la confidentialité des données dans les sections suivantes.
1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
Gestionnaire d’événements de sécurité SolarWinds est un package de gestion des journaux et de sécurité du système qui contribuera à la conformité auxPCI DSS,GLBA,SOX,NERC-CIP,HIPAA, et d'autres normes de confidentialité des données.
Principales caractéristiques:
- Collecte et consolidation des journaux
- Classement et archivage des messages de journaux
- Outil SIEM
- Détection d'intrusion
- Rapports de conformité
Ce service est et le système SIEM . Il recherche dans les fichiers journaux les activités suspectes et organise ces journaux afin qu'ils puissent être interrogés pour un audit de conformité. Tous les fichiers journaux sont protégés contre la falsification.
Le package comprend également un scanner de vulnérabilités pour l'évaluation des risques et automatisé mécanismes de remédiation si un événement de perte de données se produit.
Avantages:
- Conçu pour PCI DSS, GLBA, SOX, NERC CIP et HIPAA
- Prend en charge l'audit de conformité
- Détection d'une anomalie
- Correction automatisée
- Scanner de vulnérabilités pour l'évaluation des risques
Les inconvénients:
- Pas de version SaaS
Le gestionnaire d'événements de sécurité s'exécute sur Serveur Windows, et il est disponible pour un30 jours d'essai gratuit.
LE CHOIX DES ÉDITEURS
Gestionnaire d’événements de sécurité SolarWinds est notre premier choix pour un outil de gestion de la confidentialité des données, car il inclut une protection de sécurité ainsi qu'un suivi des activités pour la conformité aux normes. Cette combinaison de services réduit le nombre de forfaits que vous devez acheter et crée un bon rapport qualité-prix.
Obtenez un essai gratuit de 30 jours : https://www.solarwinds.com/security-event-manager/registration
Système opérateur : Serveur Windows
deux. StandardFusion
StandardFusionest un service de gestion de la confidentialité des données visant à assurer le respect des normes. Les normes mises en œuvre par ce package incluent GDPR, HIPAA, PCI-DSS, ISO, SOC2, NIST, CCPA et FedRAMP. Le service vous aide à adapter votre système informatique et vos pratiques de travail à la conformité aux normes grâce à une série de questionnaires .
Principales caractéristiques:
- Basé sur un questionnaire
- Gestion du changement
- Gestion des risques
- Fonction d'audit
Les processus automatisés du plan effectuent un analyse de risque qui met en évidence les changements à apporter pour rendre le système informatique conforme. Il réévalue chaque changement jusqu'à ce que le système atteigne un état approprié. Le package StandardFusion comprend un service de découverte et de classification de données. Il surveille ensuite l'accès aux fichiers dans les magasins de données sensibles, crée des journaux et protège les fichiers journaux contre la falsification.
Avantages:
- S'adapte au RGPD, HIPAA, PCI-DSS, ISO, SOC2, NIST, CCPA et FedRAMP
- Inclut des tiers
- Rassemble des preuves
- Centralise la documentation de conformité
Les inconvénients:
- Service hébergé sans option sur site
Le système s'intègre à Jira, Confluence, Slack, OpenID, DUO et Google Authenticator. C'est un service hébergé, et il est disponible pour un Essai gratuit de 14 jours .
3. Gouvernance, risque et conformité de ServiceNow
ServiceMaintenantest un système de centre de services, et son package GRC peut être intégré à cet outil de gestion de système. Le principal outil de ce package est l’évaluation des risques liés à la protection des données sensibles. L'évaluation des risques s'étend également à l'évaluation de tiers et à l'aide à la décision pour de nouveaux projets.
Principales caractéristiques:
- GRC pour le centre de services
- Confidentialité des données
- Orientation sur les pratiques de travail
Le les sections de gouvernance de l’outil vous aident établir des pratiques de travail sûres et créer une politique de gestion de la confidentialité des données en collaboration avec le système d'évaluation des risques. Conformité les fonctionnalités vous aident à suivre les objectifs de protection des données.
Avantages:
- Module d'évaluation des risques
- Évaluation des risques par des tiers
- Contrôle continu
Les inconvénients:
- Pas d'essai gratuit
La gouvernance, les risques et la conformité de ServiceNow sont disponibles pour une démo .
Quatre. Intelligence des risques N-able
Intelligence des risques N-able est un scanner de vulnérabilités pour tous les points de terminaison d'un réseau exécutant Windows et macOS. Le scanner de vulnérabilités fait référence au Système commun de notation des vulnérabilités (CVSS) pour identifier les risques du système. Le scanner examine les droits d'accès et les autorisations de fichiers et mémorise les paramètres système faibles.
Principales caractéristiques:
- Analyse des vulnérabilités
- Évaluation des points finaux
- Découverte de données
Le service également analyses pour les données sensibles, les catégorise et cartographie leurs emplacements. L'outil de découverte de données sensibles recherche les adresses e-mail, les numéros de plaque d'immatriculation, les comptes bancaires, les numéros de sécurité sociale, les données ACH et les numéros de carte de crédit. Il génère un rapport de risque pour chaque type de PII qu'il découvre.
Avantages:
- Fait partie d'une plateforme d'outils pour les fournisseurs de services gérés
- Crée un rapport de risque pour chaque type de données sensibles découvert
- Bon pour PCI DSS, GDPR et CCPA
Les inconvénients:
- Principalement destiné à être utilisé par les fournisseurs de services gérés pour évaluer les systèmes de leurs clients
N-able Risk Intelligence est hébergé sous un système SaaS et est adapté à la conformité aux normes PCI DSS, GDPR et CCPA. Les autres utilitaires du package incluent un scanner de vulnérabilités et des problèmes de sécurité liés au système de messagerie. Vous pouvez évaluer N-able Risk Intelligence sur un Essai gratuit de 14 jours .
5. ManageEngine DataSecurity Plus
ManageEngine DataSecurity Plus effectue Audit du serveur de fichiers , Prévention des fuites de données , et Évaluation des risques liés aux données . Chacun de ces modules est également disponible individuellement.
Principales caractéristiques:
- Prévention des fuites de données
- L'évaluation des risques
- Découverte de données sensibles
Les fonctionnalités du package incluent un outil de découverte de données sensibles qui attribue un classement de vulnérabilité à chaque élément de données découvert. Le package examine les autorisations de fichiers et les droits d'accès aux appareils et aux dossiers pour aider à renforcer la sécurité des données. DataSecurity Plus comprend également Gestion de l'intégrité des fichiers (FIM), qui enregistre les modifications apportées aux fichiers contenant des données sensibles. Le service contrôle les prises USB et empêche les transferts de fichiers. Il examine également les pièces jointes aux e-mails.
Avantages:
- Découvrez et catégorisez les PII, PHI et PCI
- Blocage de la copie de fichiers
- Fonctionne pour PCI DSS, GDPR et HIPAA
Les inconvénients:
- Aucune version pour Linux
ManageEngine DataSecurity Plus s'installe sur Serveur Windows . Vous pouvez l'évaluer sur un 30 jours d'essai gratuit .
6. Gestionnaire de données sensibles Spirion
Gestionnaire de données sensibles Spirion est un service basé sur le cloud qui suit les données sur tous vos sites ainsi que sur les plateformes cloud.
Principales caractéristiques:
- Découverte des PII, PHI et PCI
- Évaluations de vulnérabilité
- Protection des données
Il comprend un outil de découverte de données appelé ToutTrouver qui identifie la propriété intellectuelle, Informations PII, PHI et cartes de crédit . Un module appelé Observateur implémente la classification des données pour la sensibilité. Cette installation examine également les niveaux de vulnérabilité des données. Le module de Spyglass applique des mesures de sécurité aux magasins de données sensibles, telles que FIM et la prévention des pertes de données.
Avantages:
- Protection de l'intégrité des fichiers
- Classifie le risque
- Bon pour RGPD, CCPA, HIPAA et PCI DSS
Les inconvénients:
- Aucune option d'auto-hébergement
Spirion Sensitive Data Manager vous aidera à atteindre conformité avec RGPD, CCPA, HIPAA et PCI DSS. Spirion propose une démo du colis.
7. Protection des informations Azure
Protection des informations Azure recherche des données sensibles sur vos sites ou sur l'un de vos services cloud. Il surveille ensuite les e-mails, l'accès aux documents et les magasins de données.
Principales caractéristiques:
- Fait partie de la plateforme Azure
- Découverte et classification des données
- Protection pour les systèmes hybrides
Selon les normes à respecter, les actions du service Protection des informations sont adaptables. En conséquence, le service protégera différents types de données. Il est possible de bloquer le mouvement, la copie ou l'impression de données sensibles avec cet outil.
Avantages:
- Suit les mouvements de données et les bloque éventuellement
- Permet le partage de fichiers
- Surveillance de l'intégrité des fichiers
Les inconvénients:
- Uniquement disponible sur Azure
Le service propose également un système de cryptage pour protéger les fichiers au repos et en transit.
8. Acronis CyberProtect
Acronis CyberProtectcomprend un système de sauvegarde, un scanner de vulnérabilités et un système de protection contre les menaces.
Principales caractéristiques:
- Antivirus et anti-rançon
- Sauvegarde de données
- Scanner de vulnérabilité
Le service de sauvegarde peut répliquer des serveurs, vous n'avez donc pas besoin de restaurer sur le même serveur. Il sauvegardera les serveurs exécutant Windows Server et Linux, et pourra également protéger les serveurs virtuels.
Avantages:
- Combine cybersécurité et protection des données
- Intégration pour Microsoft 365
- Stockage cloud disponible
Les inconvénients:
- Tarif par point de terminaison
Le scanner de vulnérabilité renforce votre système pour éviter la perte de données et le protection contre les menaces Le service protège davantage les données des intrus. Acronis Cyber Protect est disponible pour un 30 jours d'essai gratuit .