Commencer la mise en application du règlement général sur la protection des données (RGPD) pour Windows10

Cet article vous explique en quoi consiste le RGPD et présente ce qu'offrent les produits Microsoft pour vous préparer à la mise en conformité.

Introduction

Le 25 mai2018, une loi de confidentialité européenne doit entrer en vigueur. Elle fixe une nouvelle norme mondiale en matière de droits à la vie privée, de sécurité et de conformité.

Le règlement général sur la protection des données (ou RGPD) concerne essentiellement la protection et l’application des droits à la vie privée des utilisateurs. Le RGPD établit des conditions strictes internationales en matière de protection de la vie privée qui régissent votre façon de gérer et de protéger les données personnelles tout en respectant les choix individuels, quel que soit l’endroit où les données sont envoyées, traitées ou stockées.

Microsoft et nos clients sont désormais en voie d'atteindre les objectifs de confidentialité du RGPD. Chez Microsoft, nous pensons que la confidentialité est un droit fondamental, et nous pensons que le RGPD est une étape importante pour clarifier et appliquer les droits individuels en matière de protection de la vie privée. Mais nous savons également que le RGPD nécessite des modifications importantes apportées par les organisations du monde entier.

Nous avons décrit notre engagement en faveur du RGPD, ainsi que notre soutien à nos clients dans le billet de blog Devenir conforme au RGPD à l'aide du Microsoft Cloud de notre Responsable de la confidentialité Brendon Lynch et le billet de blog Gagner votre confiance avec les engagements contractuels envers le règlement général sur la protection des données de Rich Sauer, vice-président du groupe Microsoft et directeur juridique adjoint.

Bien que votre mise en conformité avec le RGPD puisse sembler difficile, nous sommes là pour vous aider. Pour obtenir des informations spécifiques sur le RGPD, nos engagements et comment commencer à le mettre en application, visitez la section RGPD du MicrosoftTrust Center.

Le RGPD et ses implications

Le RGPD est un règlement complexe qui peut nécessiter des modifications importantes de la façon dont vous recueillez, utilisez et gérez les données personnelles. Depuis longtemps, Microsoft aide ses clients à respecter les réglementations complexes et en ce qui concerne la préparation au RGPD, nous sommes votre partenaire dans cette démarche.

Le RGPD impose des règles aux organisations qui fournissent des biens et des services aux habitants de l’Union européenne (UE) ou qui collectent et analysent des données liées à des résidents de l’Union européenne, quel que soit l’emplacement où se trouvent les entreprises. Les éléments clés du RGPD sont notamment les suivants:

  • Droits en matière de confidentialité améliorés. Protection des données renforcée pour les résidents de l’Union européenne en garantissant qu’ils ont le droit d’accéder à leurs données personnelles, d'y corriger des inexactitudes, de les effacer, de contester le traitement de leurs données personnelles et de les déplacer.

  • Obligation accrue en matière de protection des données personnelles. Responsabilité renforcée des organisations qui traitent des données personnelles, en apportant plus de clarté sur la responsabilité d'assurer la conformité.

  • Rapports obligatoires sur les violations des données à caractère personnel. Les organisations qui contrôlent des données à caractère personnel ont pour obligation de signaler à leurs autorités de contrôle toute violation de ces données qui présente un risque pour les droits et les libertés des individus, sans tarder et, si possible, au plus tard 72heures après avoir pris connaissance de la violation.

Comme on peut s'y attendre, le RGPD peut avoir un impact significatif sur votre entreprise. Il peut éventuellement vous obliger à mettre à jour les politiques de confidentialité, à implémenter et renforcer les contrôles de protection de données et les procédures de notification de violation, à déployer des stratégies très transparentes, et à effectuer des investissements supplémentaires en informatique et en formation. MicrosoftWindows10 peut vous aider à répondre à certaines de ces exigences de manière efficace.

Données personnelles et confidentielles

Dans le cadre de vos efforts pour respecter le RGPD, vous devez comprendre comment le règlement définit les données personnelles et confidentielles et comment ces définitions se rapportent aux données détenues par votre organisation.

Le RGPD considère comme données personnelles toutes les informations relatives à une personne physique identifiée ou identifiable. Cela peut inclure une identification directe (par exemple, votre nom légal) et une identification indirecte (comme des informations spécifiques qui font clairement référence à vous). Le RGPD montre clairement que le concept de données personnelles inclut les identificateurs en ligne (par exemple, les adresses IP, les ID d'appareil mobile) et les données de localisation.

Le RGPD introduit des définitions spécifiques pour les données génétiques (par exemple, la séquence génétique d'un individu) et les données biométriques. Les données génétiques et les données biométriques, ainsi que d’autres sous-catégories de données personnelles (les données personnelles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’adhésion à un syndicat; les données concernant la santé; ou les données concernant la vie sexuelle ou l’orientation sexuelle d'une personne) sont traitées comme des données personnelles sensibles dans le cadre du RGPD. Les données personnelles sensibles doivent bénéficier de protections renforcées et nécessitent généralement le consentement explicite d’un individu sur l'endroit où ces données doivent être traitées.

Exemples d’informations relatives à une personne physique identifiée ou identifiable (personne concernée)

Cette liste fournit des exemples de différents types d’informations régies par le RGPD. Cette liste n’est pas exhaustive.

  • Nom

  • Numéro d’identification (par exemple, SSN)

  • Données de localisation (par exemple, adresse du domicile)

  • Identificateur en ligne (par exemple, adresse de messagerie, noms d’écran, adresse IP, ID d'appareil)

  • Données pseudonymes (par exemple, utilisation d’une clé pour identifier des individus)

  • Données génétiques (par exemple, des échantillons biologiques d’un individu)

  • Données biométriques (par exemple, des empreintes digitales, la reconnaissance faciale)

Préparation au processus de mise en conformité avec le RGPD

Étant donné tout ce qu'implique la conformité au RGPD, nous vous recommandons vivement de ne pas attendre sa mise en vigueur pour vous préparer. Vous devez réviser vos pratiques de gestion de la confidentialité et des données personnelles dès à présent. Nous vous conseillons de commencer votre processus de mise en conformité avec le RGPD en vous concentrant sur quatre étapes principales:

  • Découvrir. Identifiez les données personnelles que vous détenez et leur emplacement.

  • Gérer. Régissez la façon dont les données personnelles sont utilisées et accessibles.

  • Protéger. Établissez des contrôles de sécurité pour empêcher les vulnérabilités et les violations de données, les détecter et y réagir.

  • Signaler. Consignez les demandes de données, signalez les violations de données et conservez les documents requis.

    Diagramme sur l'articulation des 4principales étapes du RGPD

Pour chacune de ces étapes, nous décrivons des exemples d'outils, de ressources et de fonctionnalités de différentes solutions Microsoft qui permettent de répondre aux exigences propres à chaque étape. Bien cet article ne constitue pas une «procédure» complète, nous avons inclus des liens qui vous permettent d'en savoir plus. Vous trouverez également des informations supplémentaires dans la section RGPD du MicrosoftTrust Center.

Sécurité et confidentialité de Windows10

Dans le cadre de votre mise en conformité avec le RGPD, il est important de comprendre le rôle joué par vos ordinateurs clients de bureau et portables dans la création, l'accès, le traitement, le stockage, la gestion des données pouvant être considérées comme des données personnelles et potentiellement sensibles en vertu du RGPD. Windows10 fournit des fonctionnalités qui vous aideront à respecter les exigences du RGPD de mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles.

Avec Windows10, votre capacité à vous défendre contre les types d’attaques qui peuvent entraîner des violations de données, à les détecter et vous en protéger est considérablement améliorée. Étant donné les exigences strictes concernant la notification des violations dans le RGPD, en garantissant une bonne protection de vos systèmes de bureau et portables, vous limitez la probabilité d'être confronté à des risques pouvant entraîner une analyse et une notification coûteuses de la violation.

Dans cette section, nous allons présenter les fonctionnalités offertes par Windows10 qui correspondent parfaitement aux exigences de l'étape Protéger de la procédure, notamment ces 4scénarios:

  • Protection contre les menaces: résistance aux menaces préalables aux infractions. Contrecarrez les programmes malveillants et les pirates en changeant les règles du jeu de façon à ce qu'ils perdent les vecteurs d’attaque dont ils dépendent.

  • Protection contre les menaces: détection et réponse postérieures à la violation Détectez les menaces avancées et les violations de données sur vos réseaux, examinez-les et réagissez-y.

  • Protection de l’identité. Technologie de nouvelle génération pour protéger les identités des utilisateurs contre les abus.

  • Protection des informations. Protection complète des données tout en répondant aux exigences de conformité et en préservant la productivité des utilisateurs.

Ces fonctionnalités, décrites plus en détail ci-dessous avec des références aux exigences spécifiques du RGPD, reposent sur une protection avancée des appareils qui gère l’intégrité et la sécurité du système d’exploitation et des données.

Une disposition clé du RGPD est la protection des données par conception et par défaut. Pour vous aider à répondre à cette disposition, vous disposez de fonctionnalités de Windows10 telles que la technologie de Module de plateforme sécurisée (TPM) qui est conçue pour assurer des fonctions matérielles de sécurité. Une puce TPM est un processeur de chiffrement sécurisé conçu pour effectuer des opérations de chiffrement.

La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Les principaux avantages de l’utilisation de la technologie TPM sont principalement que vous pouvez:

  • générer, stocker et limiter l’utilisation des clés de chiffrement;

  • utiliser la technologie TPM pour l’authentification des appareils de la plateforme à l’aide de la clé RSA unique du TPM, qui est gravée sur elle-même;

  • garantir l’intégrité de la plateforme en réalisant et en stockant des mesures sur la sécurité.

Pour assurer une protection avancée des appareils supplémentaire, adaptée à votre exploitation et sans violations de données, vous pouvez notamment utiliser le démarrage sécurisé de Windows pour préserver l’intégrité du système en garantissant qu'un programme malveillant ne puisse pas démarrer avant les défenses du système.

Protection contre les menaces: résistance aux menaces préalables aux infractions

Le RGPD exige la mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées pour protéger les données personnelles.

Votre capacité à répondre à cette exigence de mise en œuvre de mesures de sécurité techniques appropriées doit prendre en compte les menaces auxquelles vous êtes confronté dans un environnement informatique actuel de plus en plus hostile. Les menaces de sécurité actuelles sont agressives et tenaces. Auparavant, la préoccupation majeure des pirates informatiques consistait à gagner la reconnaissance de leur communauté; ils prenaient ainsi plaisir à lancer des attaques ou à neutraliser temporairement un système entier. Les motivations de ces pirates ont depuis évolué, ces derniers ayant réalisé que leurs attaques peuvent leur permettre de gagner de l'argent, par exemple en prenant en otage des appareils ou des données en échange d'une rançon.

Les attaques modernes consistent de plus en plus en des vols à grande échelle de propriété intellectuelle et en des dégradations d'un système cible, pouvant entraîner une perte financière. Et désormais, le cyberterrorisme menace même la sécurité des personnes, des entreprises ainsi que les intérêts des États du monde entier. Ces pirates sont généralement des personnes très compétentes et expertes en matière de sécurité. Certains d'entre eux travaillent même pour le compte des États, lesquels disposent de budgets conséquents et de ressources humaines quasiment illimitées. De telles menaces nécessitent d'adopter une approche adaptée pour relever ce type de défis.

Non seulement ces menaces mettent en péril votre capacité à garder le contrôle sur toutes les données personnelles ou confidentielles que vous pouvez détenir, mais elles représentent également un risque pour votre activité globale. Tenez compte des données récentes de Ponemon Institute, Verizon et Microsoft:

  • Le coût moyen du type de violation de données que le RGPD vous demande de signaler est de 3,5M d'USD. (Ponemon Institute).

  • 63% de ces violations impliquent des mots de passe faibles ou volés que le RGPD vous demande de traiter. (Rapport2016 d'enquête sur les compromissions de données, ou DBIR, de Verizon Enterprise).

  • Plus de 300000nouveaux exemples de programmes malveillants sont créés et propagés tous les jours, ce qui complique encore plus la tâche pour assurer la protection des données. (Centre de protection Microsoft contre les programmes malveillants, Microsoft).

Comme l'ont montré les récentes attaques par ransomware, qui ont été appelées la «peste noir» d’Internet, les pirates ciblent des entreprises plus importantes, qui peuvent se permettre de payer plus et pour lesquelles les conséquences sont potentiellement catastrophiques. Les ordinateurs de bureau et les ordinateurs portables, qui contiennent des données personnelles et confidentielles, sont généralement ciblés aux endroits où le contrôle sur les données peut être perdu.

En réponse à ces menaces et dans le cadre de vos mécanismes de résistance à ces types de violations pour rester conforme au RGPD, Windows10 fournit une technologie intégrée. Vous en trouverez ci-dessous une description détaillée, notamment sur les aspects suivants:

  • Antivirus Windows Defender pour répondre aux menaces émergentes sur les données.

  • MicrosoftEdge pour contrecarrer systématiquement le hameçonnage, les logiciels malveillants et les attaques de piratage.

  • WindowsDefenderDeviceGuard pour bloquer toutes les applications indésirables sur les ordinateurs clients.

Réponse aux menaces émergentes sur les données

L’AntivirusWindowsDefender est une solution anti-programme malveillant intégrée, qui gère la sécurité et la protection anti-programme malveillant pour les ordinateurs de bureau, les ordinateurs portables et les serveurs. Dans Windows10, il utilise une approche complexe pour améliorer son logiciel anti-programme malveillant:

  • Protection assurée par le cloud. Permet de détecter et de bloquer les nouveaux programmes malveillants en quelques secondes, dès leur apparition.

  • Contexte local enrichi. Améliore la façon dont les programmes malveillants sont identifiés. Windows10 signale à l'antivirus Windows Defender non seulement les contenus (fichiers et processus), mais également leur provenance, leur lieu de stockage, etc.

  • Capteurs globaux étendus. Maintiennent l'antivirus Windows Defender à jour et signalent les derniers programmes malveillants en date. Ceci, de deuxfaçons: en collectant les données du contexte local enrichi à partir de points de terminaison et en analysant ces données de manière centralisée.

  • Anti-falsification. Permet de protéger l'antivirus Windows Defender lui-même contre les attaques de programmes malveillants. Par exemple, l'antivirus WindowsDefenderutilise la fonctionnalité Processus protégés, qui bloque toute tentative émanant de processus non approuvés de falsifier les composants logiciels de l'antivirus Windows Defender, ses clés de registre, etc.

  • Fonctionnalités de niveau entreprise. Équipent les professionnels de l’informatique des outils et des options de configuration nécessaires pour permettre à l'antivirus WindowsDefender de fonctionner comme une solution anti-programme malveillant d’entreprise.

Interruption systématique du hameçonnage, des logiciels malveillants et des attaques de piratage

Dans le contexte actuel de menaces plus agressives que jamais, votre capacité à fournir ces mécanismes doit être en rapport avec les attaques spécifiquement axées sur les données auxquelles vous exposent le hameçonnage, les logiciels malveillants et le piratage qui découlent des attaques liées au navigateur.

Avec Windows10, Microsoft fournit MicrosoftEdge, son navigateur le plus fiable et le plus sécurisé à ce jour. Ces deux dernières années, nous avons continuellement innové et nous sommes fiers des progrès que nous avons effectués. Cette qualité d’ingénierie se traduit par la réduction des expositions aux vulnérabilités et aux menaces courantes (CVE, Common Vulnerabilities and Exposures) en comparant MicrosoftEdge avec Internet Explorer l’an dernier. Cette innovation de Windows10 est importante étant donné les attaques liées au navigateur sur les données personnelles et confidentielles que vous devrez protéger conformément au RGPD.

Bien qu’aucun navigateur moderne (ni aucune application complexe) ne soit exempte de vulnérabilités, un bon nombre de celles qui concernent MicrosoftEdge ont été signalées par des chercheurs professionnels sur la sécurité. Ces derniers collaborent avec le MSRC (MicrosoftSecurity Response Center) et l’équipe de MicrosoftEdge pour assurer la protection des clients bien avant que des individus mal intentionnés ne puissent exploiter ces vulnérabilités. Mieux encore, il n’existe aucune preuve d'exploitation d'une vulnérabilité dans des attaques de type «zero day».

Graphique des CVE (Common Vulnerabilities and Exposures) dans la base de données des vulnérabilités nationales courantes

Toutefois, de nombreuses entreprises du monde entier subissent de plus en plus de menaces par des attaques ciblées, dans lesquelles les pirates conçoivent des attaques spécialisées contre une entreprise spécifique pour tenter de prendre le contrôle des réseaux et des données d’entreprise.

Blocage de toutes les applications indésirables

Le contrôle d'applications est votre meilleure défense dans un monde où plus de 300000nouveaux exemples de programmes malveillants apparaissent chaque jour. Avec Windows10, WindowsDefenderDeviceGuard est un ensemble de fonctionnalités de sécurité matérielle et logicielle d’entreprise qui, lorsqu’elles sont configurées simultanément, verrouillent un appareil pour qu’il puisse uniquement exécuter les applications approuvées que vous définissez dans vos stratégies d’intégrité du code. Si l’application n’est pas approuvée, elle ne peut pas être exécutée.

Avec le matériel respectant la configuration requise de base, cela signifie également que même si une personne malveillante parvient à obtenir le contrôle du noyau Windows, elle sera beaucoup moins susceptible d’exécuter un code malveillant. Avec le matériel approprié, WindowsDefenderDeviceGuard peut utiliser la nouvelle sécurité basée sur la virtualisation de Windows10 pour isoler le service Intégrité du code du noyau MicrosoftWindows proprement dit. Dans ce cas, le service Intégrité du code s’exécute avec le noyau dans un conteneur Windows protégé par l’hyperviseur.

WindowsDefenderDeviceGuard protège contre les menaces qui peuvent exposer des données sensibles ou personnelles aux attaques, notamment les suivantes:

  • Exposition aux nouveaux programmes malveillants, dont la «signature» n’est pas encore connue

  • Exposition au code non signé (la plupart des programmes malveillants ne sont pas signés)

  • Programmes malveillants qui accèdent au noyau, puis, à partir de là, capturent des informations sensibles ou endommagent le système

  • Attaques par accès direct à la mémoire (DMA), par exemple, attaques lancées à partir d’un appareil malveillant qui lisent les secrets de la mémoire, rendant ainsi l’entreprise plus vulnérable aux attaques

  • Exposition aux kits de démarrage ou à une personne malveillante physiquement présente au moment du démarrage.

Protection contre les menaces: détection et réponse postérieures à la violation

Le RGPD inclut des exigences explicites concernant la notification de violation, dans lesquelles une violation de données personnelles signifie «une violation de sécurité qui entraîne un accès non autorisé à des données personnelles transmises, stockées ou autrement traitées, leur destruction accidentelle ou illégale, leur perte, leur modification ou leur divulgation non autorisée.»

Comme indiqué dans le livre blanc du Centre de sécurité Windows, Protection postérieure à la violation: gérer les menaces avancées, «contrairement à la protection préalable à la violation, la protection postérieure à la violation suppose qu'une violation a déjà eu lieu: elle fait office de boîte noire et joue le rôle d'un enquêteur de scène de crime. La protection postérieure à la violation fournit à l'équipe de sécurité les informations et les outils nécessaires pour identifier les attaques qui, autrement, passeraient inaperçues, les examiner et réagir en conséquence».

Télémétrie de sécurité claire

Depuis près de vingt ans, Microsoft transforme les menaces en renseignements utiles qui permettent de renforcer sa plateforme et de protéger ses clients. Aujourd'hui, grâce aux immenses avantages informatiques offerts par le cloud, nous trouvons de nouvelles façons d’utiliser nos moteurs d'analyse enrichis, fondés sur les renseignements concernant les menaces pour protéger nos clients.

En appliquant une combinaison de processus automatisés et manuels, d'apprentissage machine et d'experts humains, nous pouvons créer un Intelligent Security Graph qui apprend de lui-même et évolue en temps réel, afin de réduire notre temps collectif nécessaire pour détecter les nouveaux incidents et y réagir pour l'ensemble de nos produits.

Schéma de l'Intelligent Security Graph de Microsoft

L’étendue des renseignements sur les menaces de Microsoft couvre, littéralement, des milliards de points de données: 35milliards de messages analysés tous les mois, 1milliard de clients dans les segments entreprises et consommateurs accédant à plus de 200services cloud et 14milliards d'authentifications effectuées tous les jours. Toutes ces données réunies en votre nom par Microsoft créent l'Intelligent Security Graph qui contribue à protéger votre accès principal de façon dynamique pour préserver la sécurité, rester productif et répondre aux exigences du RGPD.

Détection des attaques et enquêtes scientifiques

Même les meilleures défenses de point de terminaison peuvent finalement présenter des failles, à mesure que les cyberattaques deviennent plus sophistiquées et plus ciblées.

La protection avancée contre les menaces Windows Defender (ATP) vous permet de détecter les attaques avancées et les violations de données sur vos réseaux, à les examiner et à réagir en conséquence. Le RGPD exige que vous vous protégiez contre les attaques et les violations au moyen de mesures de sécurité techniques permettant de garantir la confidentialité en continu, l’intégrité et la disponibilité des données personnelles.

Les principaux avantages d'ATP sont notamment les suivants:

  • Détection de l'indécelable: des capteurs profondément intégrés dans le noyau du système d’exploitation, des experts en sécurité Windows et une perception unique provenant d'un milliard d'ordinateurs et de signaux sur tous les services Microsoft.

  • Intégrés, mais pas verrouillés: sans agent, avec des performances élevées et un faible impact, fonctionnant sur le cloud et offrant une gestion facile sans aucun déploiement.

  • Un écran unique pour la sécurité Windows: explorez 6mois de chronologie complète des ordinateurs qui unifie les événements de sécurité depuis WindowsDefenderATP, Antivirus WindowsDefender.

  • Puissance de Microsoft Graph: tirez parti de MicrosoftIntelligenceSecurityGraph pour intégrer la détection et l’exploration à un abonnement Office 365 ATP, afin de remonter la piste des attaques et y répondre.

En savoir plus sur Nouveautés dans la version d’évaluation de Windows Defender ATP Creators Update.

Pour fournir des fonctionnalités de détection, Windows10 améliore ses capteurs de la mémoire et du noyau du système d’exploitation pour permettre la détection des personnes malveillantes qui font appel à des attaques en mémoire et au niveau du noyau. Cela braque un projecteur sur les recoins sombres où les agresseurs s'abritaient des outils de détection classiques. Nous avons déjà exploité avec succès cette nouvelle technologie contre les attaques de type «zero day» sur Windows.

Centre de sécurité WindowsDefender

Nous continuons à mettre à niveau nos détections des ransomware et d’autres attaques avancées, en appliquant notre bibliothèque de détection comportementale et d’apprentissage machine pour contrer les tendances changeantes des attaques. Notre fonctionnalité de détection historique permet de s'assurer que les nouvelles règles de détection sont appliquées sur les données stockées depuis six mois maximum, afin de détecter des attaques qui auparavant passaient inaperçues. Les clients peuvent également ajouter des règles de détection personnalisées ou des IOC pour enrichir le dictionnaire de détection.

Les clients nous ont demandé un écran unique pour toute la pile de sécurité de Windows. Les détections de l'antivirus WindowsDefender et les blocs de WindowsDefenderDeviceGuard sont les premiers à apparaître dans le portail WindowsDefenderATP intercalées avec les détections de WindowsDefenderATP. La nouvelle entité utilisateur ajoute l'identité sous forme de pivot, fournissant des informations sur les actions, les relations et les alertes qui s’étendent sur les ordinateurs et nous permettent d’effectuer le suivi des personnes malveillantes se déplaçant latéralement sur le réseau.

Notre page d'alerte comprend désormais une nouvelle visualisation de l'arborescence du processus qui regroupe plusieurs détections et événements associés dans une vue unique. Grâce à ces informations, l'équipe de sécurité peut comprendre et résoudre les incidents plus rapidement sans quitter la page d’alerte.

Les équipes des opérations de sécurité (SecOP) peuvent rechercher des preuves d’attaques, telles que des noms de fichiers ou des hachages, des adresses IP ou des URL, des comportements, des ordinateurs ou des utilisateurs. Ils peuvent le faire immédiatement en effectuant des recherches dans l’inventaire cloud de l’entreprise, sur tous les ordinateurs (et en pouvant remonter à 6mois en arrière), même si les ordinateurs sont en mode hors connexion, ont été réinitialisés ou n’existent plus.

Centre de sécurité WindowsDefender - écran utilisateur

Lors de la détection d’une attaque, les équipes de sécurité peuvent désormais prendre des mesures immédiates: isoler les ordinateurs, exclure des fichiers depuis le réseau, arrêter ou mettre en quarantaine des fichiers ou des processus en cours d’exécution ou récupérer un package d’enquête à partir d’un ordinateur pour fournir des preuves. Tout cela, d'un simple clic sur un bouton. Car bien que la détection des attaques avancées soit importante, les arrêter l'est encore plus.

Centre de sécurité WindowsDefender - écran d'ordinateur

Protection de l’identité

L'identification et la gestion des accès sont un autre domaine où le RGPD a mis particulièrement l’accent en appelant des mécanismes à accorder et limiter l’accès aux données s'il s'agit de données à caractère personnel (par exemple, accès basé sur les rôles, répartition des responsabilités).

Protection multifacteur

L’authentification biométrique (qui utilise votre visage, votre iris ou vos empreintes digitales pour déverrouiller vos appareils) est beaucoup plus sûre que les mots de passe traditionnels. Vous (et uniquement vous) plus votre appareil sont les clés pour accéder à vos applications, à vos données, et même à des sites Web et des services, au lieu d'une succession aléatoire de lettres et de chiffres facilement oubliés, piratés ou notés et épinglés sur un tableau d'affichage.

Votre capacité à protéger les données personnelles et confidentielles (qui peuvent être stockées ou accessibles via des ordinateurs de bureau ou des ordinateurs portables) sera renforcée par l’adoption de fonctions d’authentification avancées telles que les dispositifs complémentaires Windows Hello Entreprise et Windows Hello. Windows Hello Entreprise, qui fait partie de Windows10, offre aux utilisateurs une expérience personnelle et sécurisée où l’appareil est authentifié en fonction de leur présence. Les utilisateurs peuvent se connecter à l'aide d'un regard ou d'une interaction tactile, sans avoir besoin d’un mot de passe.

Conjointement avec Windows Hello Entreprise, l’authentification biométrique utilise les empreintes digitales ou la reconnaissance faciale et est plus sécurisée, plus personnelle et plus pratique. Si une application prend en charge Hello, Windows10vous permet d’authentifier des applications, des contenus d’entreprise et même certaines expériences en ligne sans nécessiter de mot de passe stocké sur votre appareil ou sur un serveur réseau. Windows Hello Entreprise fonctionne avec Companion Device Framework pour améliorer l’expérience d’authentification de l'utilisateur. S’appuyant sur Windows Hello Companion Device Framework, un dispositif complémentaire peut enrichir considérablement l’expérience Windows Hello même en l’absence de biométrie (par exemple, si l’ordinateur de bureau Windows10 ne dispose pas d’appareil photo pour l’authentification faciale ou d’un lecteur d’empreintes digitales).

Il existe de nombreuses façons de créer une excellente expérience de déverrouillage Windows avec un dispositif complémentaire à l’aide de Windows Hello Companion Device Framework. Les utilisateurs peuvent, par exemple:

  • travailler hors connexion (par exemple, lors d'un voyage en avion);

  • attacher leurs dispositifs complémentaires aux PC via USB, puis effleurer le bouton sur le dispositif complémentaire pour déverrouiller automatiquement leur PC;

  • porter sur eux un téléphone déjà couplé à leur PC via Bluetooth. Le fait d’appuyer sur la barre d’espace du PC envoie une notification au téléphone. L’approbation de ce message par l’utilisateur déverrouille le PC;

  • poser rapidement leur dispositif complémentaire contre un lecteurNFC pour déverrouiller leur ordinateur en toute rapidité;

  • porter des bracelets connectés ayant déjà authentifié l’utilisateur. Lorsque l’utilisateur s’approche du PC et effectue un mouvement spécial, comme frapper dans les mains, le PC se déverrouille.

Protection contre les attaques en isolant les informations d’identification de l’utilisateur

Comme indiqué dans le Guide Windows10 sur la prévention du vol d’informations d’identification, «les techniques et les outils utilisés par les criminels pour mener des attaques de vol et de réutilisation des informations d’identification progressent et les pirates atteignent leurs objectifs plus facilement. Le vol d’informations d’identification s’appuie souvent sur des pratiques opérationnelles ou sur l’exposition des informations d’identification d'utilisateurs. Une prévention efficace requiert donc une approche globale qui traite les personnes, les processus et les technologies. En outre, ces attaques consistent à voler des informations d’identification après avoir compromis un système pour développer ou conserver un accès, si bien que les organisations doivent restreindre les violations rapidement en mettant en œuvre des stratégies qui empêchent les attaquants de se déplacer librement et sans être détectés dans un réseau compromis.

Un aspect de conception important pour Windows10 est la prévention contre les vols d’informations d’identification, en particulier, les informations d’identification dérivées. WindowsDefenderCredentialGuard offre une sécurité considérablement améliorée contre le vol et la réutilisation d’informations d’identification dérivées en implémentant une modification architecturale significative dans Windows conçue pour aider à éliminer les attaques d’isolation basées sur le matériel plutôt que d'essayer simplement se défendre contre elles.

Lorsque les informations d’identification de domaine du Gestionnaire d’informations d’identification et celles dérivées de NTLM et de Kerberos sont protégées à l’aide de la sécurité basée sur la virtualisation, les techniques et les outils d’attaque par vol d’informations d’identification utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants exécutés dans le système d’exploitation avec des privilèges administratifs ne peuvent pas extraire les secrets protégés par la sécurité basée sur la virtualisation. Bien que Windows Defender Credential Guard permette de réduire efficacement les risques, les attaques de menace persistantes sont susceptibles d’avoir recours à de nouvelles techniques. Par conséquent, nous vous recommandons également d’intégrer Windows Defender Device Guard, comme décrit ci-dessus, et d'autres stratégies et architectures de sécurité.

Protection des informations

Le RGPD est axé sur la protection des informations concernant les données considérées comme personnelles ou sensibles en relation avec une personne physique, ou personne concernée. La protection des appareils, la protection contre les menaces et la protection de l'identité sont toutes des éléments importants d’une stratégie de défense en profondeur autour d'une couche de protection des informations dans les systèmes de vos ordinateurs portables de bureau.

En ce qui concerne la protection des données, le RGPD reconnaît que dans l’évaluation des risques de sécurité des données, il convient de prendre en compte les risques présentés comme une perte accidentelle, une divulgation non autorisée des données personnelles transmises, stockées ou autrement traitées ou un accès non autorisé à ces données. Il recommande également que les mesures prises pour maintenir un niveau de sécurité approprié prennent en compte les possibilités techniques les plus récentes et les coûts de mise en œuvre par rapport aux risques entre autres facteurs.

Windows10 fournit des capacités d’atténuation des risques intégrées dans le contexte des menaces actuelles. Dans cette section, nous allons examiner les types de technologies qui contribuent à votre conformité avec le RGPD et en même temps vous offrent une solide protection globale des données dans le cadre d’une stratégie de protection des informations complète.

Schéma de stratégie de protection des informations complète de Microsoft

Chiffrement pour les appareils perdus ou volés

Le RGPD appelle des mécanismes qui mettent en œuvre des mesures de sécurité techniques appropriées pour confirmer la confidentialité continu, l’intégrité et la disponibilité des données personnelles et des systèmes de traitement. Le chiffrement BitLocker, tout d’abord introduit dans le cadre de l’architecture informatique de base sécurisée nouvelle génération de Microsoft en 2004 et mis à disposition avec WindowsVista, est une fonctionnalité intégrée de protection des données qui s’intègre avec le système d’exploitation et qui traite les menaces de vol ou d’exposition de données à partir d’ordinateurs perdus, volés ou mis incorrectement hors service.

La protection assurée par BitLocker est optimale lorsque ce dernier est utilisé avec un module de plateforme sécurisée (TPM) version1.2 ou ultérieure. Le moduleTPM est un composant matériel installé sur de nombreux ordinateurs récents par les fabricants d’ordinateurs. Il fonctionne avec BitLocker pour protéger les données utilisateur et s’assurer que l’ordinateur n’a pas été falsifié pendant que le système était hors connexion.

Les données stockées sur un ordinateur perdu ou volé sont vulnérables aux accès non autorisés via l’exécution d’un outil d’attaque logicielle contre elles ou le transfert du disque dur de l’ordinateur sur un autre ordinateur. BitLocker contribue à limiter l’accès aux données non autorisées en renforçant la protection des fichiers et du système. BitLocker permet également de rendre les données inaccessibles lorsque les ordinateurs protégés par BitLocker sont mis hors service ou recyclés.

En relation avec BitLocker, les disques durs chiffrés sont une nouvelle classe de disques durs, au chiffrement automatique, au niveau matériel et permettent un chiffrement complet du disque. Les disques durs chiffrés utilisent le chiffrement rapide fourni par le chiffrement de lecteur BitLocker pour améliorer la sécurité et la gestion des données.

En déchargeant les opérations de chiffrement sur le matériel, les disques durs chiffrés augmentent les performances de BitLocker et réduisent l’utilisation du processeur et la consommation d’énergie. Les disques durs chiffrés chiffrant les données rapidement, les appareils d'entreprise sont ainsi en mesure d’étendre les déploiements BitLocker avec une incidence minimale sur la productivité.

Voici quelques-uns des avantages des disques durs chiffrés:

  • De meilleures performances. Le matériel de chiffrement, intégré au contrôleur du disque, permet au disque de fonctionner à un débit maximal sans dégradation des performances.

  • Une sécurité renforcée basée dans le matériel. Le chiffrement est toujours actif et les clés de chiffrement ne quittent jamais le disque dur. L’authentification des utilisateurs est effectuée par le disque, avant son déverrouillage, indépendamment du système d’exploitation.

  • Simplicité d’utilisation. Le chiffrement est transparent pour l’utilisateur, car il est activé par défaut. Aucune interaction utilisateur n’est nécessaire pour activer le chiffrement. Les disques durs chiffrés peuvent facilement être effacés à l’aide de la clé de chiffrement intégrée. Il est inutile de chiffrer à nouveau les données sur le lecteur.

  • Diminution du coût de possession. Il est inutile de déployer une nouvelle infrastructure pour gérer les clés de chiffrement puisque BitLocker tire parti de votre infrastructure de services de domaine Active Directory pour stocker les informations de récupération. Votre appareil fonctionne plus efficacement, car il n’est pas nécessaire d’utiliser les cycles de processeur pour le processus de chiffrement.

Prévention de toute fuite d’accidentelle de données vers des utilisateurs non autorisés

Dans un monde axé sur le mobile et sur le cloud, vous devez désormais intégrer dans votre exploitation le fait que certains ordinateurs portables ont des usages multiples: professionnels et personnels. Néanmoins, il est nécessaire de protéger ces données à caractère personnel et sensible relatives à des résidents de l’Union européenne considérés comme «personnes concernées», conformément aux exigences du RGPD.

La protection des informations Windows permet aux utilisateurs de séparer leurs données professionnelles et personnelles et garde les données chiffrées partout où elles sont stockées. Vos employés peuvent en toute sécurité utiliser à la fois des données professionnelles et personnelles sur le même appareil sans changer d’applications. La protection des informations Windows permet aux utilisateurs finaux d’éviter toute fuite de données accidentelle en envoyant un avertissement lorsque des informations sont copiées/collées dans des applications autres que celles de l'entreprise. Les utilisateurs finaux peuvent continuer, mais l’action sera consignée de manière centralisée.

Par exemple, les employés ne peuvent pas envoyer de fichiers de travail protégés à partir d’un compte de messagerie personnel au lieu de leur compte professionnel. Ils ne peuvent également pas publier accidentellement des données confidentielles ou sensibles à partir d’un site d’entreprise dans un tweet. La protection des informations Windows permet également de garantir qu’ils n'enregistrent pas de données personnelles ou confidentielles dans un emplacement de stockage cloud public.

Capacités de classifier des données, de leur affecter des autorisations et de les partager

La protection des informations Windows est conçue pour coexister avec des fonctionnalités avancées de prévention contre la perte des données (DLP) qui se trouvent dans Office 365ProPlus, Azure Information Protection et Azure Rights Management. La DLP avancée empêche l’impression, par exemple, ou protège les données professionnelles qui sont envoyées par courrier électronique à l’extérieur de votre entreprise.

Pour protéger vos données en permanence, quel que soit l’endroit où elles sont stockées, quelle que soit la personne avec laquelle elles sont partagées, ou que l’appareil exécute iOS, Android ou Windows, la classification et la protection doivent être intégrées au fichier lui-même. Cette protection peut ainsi voyager avec les données partout où elles vont. MicrosoftAzure Information Protection administrative (AIP) est conçu pour fournir cette protection des données persistantes à la fois en local et dans le cloud.

La classification des données est une partie importante de tout plan de gouvernance de données. L'adoption d’un modèle de classification qui s’applique dans toute votre entreprise peut être particulièrement utile pour répondre à ce que le RGPD appelle les demandes de la personne concernée (par exemple, votre employé ou client de l’UE), car cela permet aux entreprises d’identifier plus facilement et de traiter les demandes concernant les données personnelles.

Le service Azure Information Protection peut être utilisé pour vous aider à classifier et à étiqueter vos données au moment de la création ou de la modification. Une protection sous forme de chiffrement (que le RGPD reconnaît comme étant parfois appropriée) ou d'indications visuelles peut ensuite être appliquée aux données qui doivent être protégées.

Avec Azure Information Protection, vous pouvez soit rechercher des données marquées avec une étiquette de sensibilité, soit identifier intelligemment les données sensibles quand un fichier ou un courrier électronique est créé ou modifié. Une fois identifiées, vous pouvez automatiquement classifier et étiqueter les données, en fonction de la stratégie souhaitée par la société.

Azure Information Protection permet également à vos utilisateurs de partager des données sensibles de manière sécurisée. Dans l’exemple ci-dessous, les informations relatives à une acquisition confidentielle ont été chiffrées et restreintes à un groupe de personnes qui n'ont reçu qu’un ensemble limité d’autorisations sur ces informations: elles peuvent modifier le contenu, mais ne peuvent pas copier ou imprimer.

Écran Azure Information Protection avec des limitations

Contenu associé pour des solutions Windows10associées

Clause d’exclusion de responsabilité

Cet article est un commentaire sur le RGPD, tel que Microsoft l’interprète, à compter de la date de publication. Nous avons investi beaucoup de temps à étudier le RGPD et nous pensons avoir bien compris son objectif et sa signification. Mais l’application du RGPD est propre à chaque cas et les aspects et les interprétations du RGPD ne sont pas tous bien fixés.

Par conséquent, cet article est fourni à titre d’information uniquement. Il ne doit pas être considéré comme constituant un avis juridique ni servir à déterminer la façon dont le RGPD peut s’appliquer à vous et à votre organisation. Nous vous encourageons à travailler avec un professionnel juridiquement qualifié pour discuter du RGPD, de la manière dont il s’applique spécifiquement à votre organisation et des meilleures méthodes pour garantir la conformité.

MICROSOFT N’APPORTE AUCUNE GARANTIE, EXPRESSE, IMPLICITE OU LÉGALE, QUANT AU CONTENU DE CET ARTICLE. Cet article est fourni «en l'état». Les informations et idées exprimées dans ce article, y compris les URL et autres références à des sites web sur Internet, peuvent faire l'objet de modifications sans préavis.

Cet article ne vous fournit aucun droit légal de propriété intellectuelle de tout produit Microsoft. Vous pouvez copier le présent article pour une utilisation interne à des fins de référence uniquement.

Publié en septembre2017
Version1.0
© 2017 Microsoft. Tous droits réservés.