Le règlement général sur la protection des données (RGPD) entrera en vigueur en mai 2018 et entraîne d’énormes répercussions sur la manière dont les entreprises du monde entier traitent la confidentialité et la sécurité, et tout particulièrement celles qui détiennent des données personnelles concernant des citoyens de l’Union européenne.

Le RGPD introduit des changements notables par rapport à la directive existante de l’UE (95/46/CE) : introduction du « droit à l’oubli » ; amendes pour les violations de données ; obligation impérative de signaler tout incident de sécurité dans les 72 heures.

De ce fait, pour se mettre en conformité complète avec le RGPD, les entreprises vont devoir réévaluer leur infrastructure informatique ainsi que les processus en vigueur au sein de leurs équipes informatiques. Concrètement, les experts conseillent aux entreprises d’intégrer dans tous leurs nouveaux systèmes une protection des données structurelle et par défaut (« respect de la vie privée dès la conception »).

Incorporer la confidentialité des données

Dans un récent rapport sur le rôle de la technologie dans la protection des données, le cabinet de conseil PwC souligne : « Le RGPD introduit une mutation fondamentale dans la manière dont les contrôleurs et les opérateurs de données gèrent les données personnelles. Au lieu d’être des « additifs » ou des éléments pris en compte a posteriori dans les opérations de l’entreprise, les protections des données personnelles devront désormais faire partie intégrante de la conception des systèmes de traitement des données. En d’autres termes, les entités vont devoir réexaminer la manière dont elles traitent la technologie dans leurs organisations. »

Le problème est que les cyberattaques procèdent d’en haut : des couches applicatives et systèmes d’exploitation vers les firmwares et le matériel. Une enquête du Ponemon Institute sur l’environnement de la cybersécurité et de son coût pour les entreprises a déterminé qu’il y a eu l’an dernier pas moins de 720 millions de tentatives de piratage par jour dans le monde entier, et qu’il a fallu en moyenne 99 jours aux entreprises pour détecter le code malveillant. Toujours selon Ponemon, la cybercriminalité fait perdre en moyenne 9 millions de dollars par an aux sociétés.

C’est là où disposer d’une sécurité basée sur le matériel devient une nécessité vitale. Par exemple, en utilisant une validation des « racines de confiance » (RoT) au niveau firmware et matériel, l’entreprise peut se créer un environnement sûr d’hébergement des systèmes d’exploitation, des applications métier, du stockage et de l’utilisation des données sensibles, et des systèmes interconnectés.

La validation RoT alerte l’entreprise, ou empêche les attaques, si une activité malveillante est détectée ou s’il y a risque de danger pour des données sensibles (fondamentalement, elle agit comme un moteur de calcul distinct et elle contrôle le processeur cryptographique Trusted Computing Platform sur le serveur, le PC ou l’appareil mobile sur lequel elle est embarquée).

Protection au niveau des circuits intégrés

HPE a développé un firmware de sécurité RoT qui fonctionne en synergie avec les processeurs de ses serveurs afin de fournir un environnement protégé dont la sécurisation ne repose pas sur des logiciels ou sur un périmètre de sécurité pour détecter et prévenir les menaces. Cette technologie est intégrée aux serveurs Gen10 de HPE.

Selon Jason Shropshire, vice-président senior et directeur technique d’InfusionPoints, cabinet conseil en cybersécurité, « Du fait des progrès réalisés dans la sécurisation des systèmes d’exploitation et des plateformes, les attaquants se sont tournés vers les firmwares de plateformes et les systèmes embarqués. Si les attaquants n’arrivent pas à prendre pied dans une application ou un système d’exploitation, trop difficiles à pénétrer, ils se découragent vite et recherchent d’autres vecteurs de pénétration. »

Shropshire ajoute que les serveurs Gen10 de HPE empêchent les violations de systèmes en les bloquant au niveau du firmware et des circuits intégrés, augmentant ainsi considérablement la protection des données de l’organisation.

Selon lui, cette technologie va réellement relever la barre dans l’industrie, en étant en mesure de valider l’intégrité du firmware d’une plateforme.

Pour plus d’informations sur les serveurs HPE Gen10, suivez ce lien.