De plus en plus d'entreprises utilisent Google Drive (Documents) comme serveur de fichiers principal. Elles doivent donc être capables d'identifier et de protéger les données personnelles (PII) stockées et partagées dans Google Documents.

Les données personnelles (PII) sont des données qui peuvent servir à identifier, contacter ou localiser un individu de façon unique. Cela inclut :

• les numéros de cartes de crédit ;
• les numéros de sécurité sociale ;
• des numéros de téléphones, des adresses ou d'autres données sensibles du type.

La protection des données personnelles n'est pas qu'une bonne pratique inspirée du bon sens. Le maintien de leur sécurité est également imposé par nombre de réglementations et de lois sur la protection de la vie privée, parmi lesquelles :

Les normes PCI DSS – Le Conseil des normes de sécurité du secteur des cartes de paiement exige que les entreprises gérant des paiements par carte soient en conformité avec des standards de sécurité et protègent les données privées des détenteurs de cartes au cours de toute transaction. Cette réglementation stipule que les entreprises doivent sécuriser toutes les informations relatives aux détenteurs de cartes quel que soit l'emplacement de ces données.

La loi FISMA – La loi fédérale pour la gestion de la sécurité des informations exige des organismes gouvernementaux qu'ils développent des procédures de sécurité afin de protéger les données sensibles et confidentielles relatives au fonctionnement et aux biens de chaque organisme.

La loi FERPA – La loi fédérale sur les droits à l'instruction et la protection de la vie privée des familles est vouée à la confidentialité des renseignements des dossiers pédagogiques. Cette loi s'applique à toutes les écoles ayant reçu des fonds dans le cadre d'un programme du ministère de l'éducation des États-Unis.

Beaucoup d'autres réglementations telles que la norme SOX (réforme de la comptabilité des sociétés cotées en bourse et la protection des investisseurs) et CIPA (protection des enfants sur Internet) exigent également des entreprises qu'elles identifient, classifient et sécurisent les données sensibles afin d'entrer en conformité avec ces mêmes réglementations (et bien d'autres), avec les politiques de gouvernance interne et les politiques d'utilisation acceptable (PUA).

Toutes les lois et réglementations mentionnées ci-dessus stipulent clairement qu'elles s'appliquent à toutes les données créées, stockées et traitées par les entreprises, quelle que soit leur nature ou emplacement. La proportion d'informations stockées dans le cloud étant de plus en plus importante, les entreprises doivent désormais étendre leurs pratiques de sécurité aux données stockées dans les nuages.

La gestion des règles de conformité pour les données de cloud computing doit être conforme au même cadre établi pour toute autre donnée. Ce cadre juridique comprend plusieurs étapes :

Les défis de la sécurisation des données personnelles dans le cloud

Bien que les concepts de base n'aient pas changés depuis la prise d'effet de ces réglementations, les outils utilisés pour l'identification, la sécurisation et l'audit des données en interne ne peuvent plus être utilisés pour les données stockées dans le cloud en général, et plus particulièrement sur Google Drive (Documents).

Afin de faire face à ce nouveau défi en matière de conformité des espaces de stockage de données dans le cloud, les principes directeurs suivants doivent être appliqués :

• idéalement, les données ne devraient pas être extraites de leur système source pour les processus de mise en conformité, afin d'éviter la création de copies supplémentaires de données confidentielles ;
• les coûts liés à la protection de données confidentielles ne doivent pas contrebalancer les avantages économiques liés à la migration vers le cloud ;
• la mise en conformité n'est pas un effort ponctuel ; les applications choisies pour ce processus doivent permettre des analyses, la classification, des alertes en continu et proposer des mesures correctrices dans les cas où la sécurité des données personnelles n'est pas assurée.
• Les processus de mise en conformité et d'audit ne doivent pas détourner les entreprises du coeur de leur activité, ni entraver la bonne marche de l'entreprise.
• Les utilisateurs finaux et les propriétaires de données doivent s'impliquer dans les processus de sécurité et de mise en conformité. Il est nécessaire de déléguer auprès des membres du département en charge de la sécurité et auprès des utilisateurs finaux ayant une connaissance intime des données afin de mener à bien le processus de mise en conformité sans encombrer l'équipe informatique de toutes ces procédures.

Avec le Gestionnaire de conformité CloudLock, les entreprises peuvent trouver et protéger leurs données personnelles. Le guide ci dessous montre comment trouver des données personnelles et d'autres données importantes et confidentielles dans Google Drive (Documents) grâce à CloudLock.

Étape 1 : Identifier les données devant être conformes

Les données ne devant pas toutes être examinées, il faut identifier celles dont la conformité doit être analysée. Exemples de données devant être inspectées :

• les fichiers créés par certains utilisateurs ;
• les données stockées dans des collections/dossiers spécifiques ;
• les fichiers accessibles au public, en externe ou en interne ;
• les fichiers accessibles par recherche de mots-clefs.

Dans le navigateur de documents CloudLock, sélectionner les fichiers à examiner et sélectionner "Compliance Scan" (dans le menu "More Actions")

Étape 2 : Classifier les données

Cette étape permettra de sélectionner l'analyse de conformité la plus pertinente pour la classification des données. CloudLock suit les standards stricts mis en avant par l'Administration locale de la sécurité sociale ainsi que les recommandations du Conseil des normes de sécurité du secteur des cartes de paiement pour la reconnaissance de données sensibles.

Tout d'abord, choisir une des options suivantes :

• Local Social Security – Pour identifier les documents contenant des numéros de sécurité sociale ;
• Credit Card – Identifier et marquer les documents contenant des numéros de cartes de crédit ;
• Custom – Définir un motif personnalisé d'une expression régulière (RegEx) et correspondant à des données confidentielles. Par exemple :
  1. des numéros d'assurance maladie ;
  2. des numéros de cartes d'identité ;
  3. des cartes d'étudiants ;
  4. des numéros d'immatriculation de véhicules ;
  5. des dates de naissance ;
  6. des informations génétiques ;
  7. des passeports ;
  8. des identifiants numériques ;
  9. des codes postaux ;
  10. des numéros de série.

Consulter la liste complète des actions prises en charge grâce aux expressions régulières.

Une fois l'analyse terminée, un rapport classe les documents en fonction de leur statut :

• – une donnée sensible a été trouvé ;
• – erreur d'analyse – le document n'a pas été analysé ;
• – le document n'a pas pu être analysé car son format n'est pas pris en charge.

Étape 3 : Examiner et sécuriser les documents marqués

Une fois les documents contenant une donnée recherché identifiés, les ouvrir afin de vérifier qu'ils contiennent les données confidentielles en question. Pour ce faire, cliquer sur le titre du document, puis cliquer sur "View document" ou sur "View Spreadsheet/form". L'ouverture d'un document vous accordera des droits d'accès en lecture ; cette autorisation sera enregistrée dans le journal d'audit.

En fonction du degré de confidentialité du document et de son niveau de partage, il peut s'avérer nécessaire de supprimer des collaborateurs, modifier des droits d'accès, de supprimer la visibilité au public ou en externe et de notifier les propriétaires des données.

CloudLock permet à ses clients de sécuriser leurs documents un par un ou par groupes avec chacune des actions suivantes :

• l'ajout ou la suppression de collaborateurs ;
• la suppression de la visibilité au public, en externe ou en interne ;
• la copie de fichiers et le transfert de propriété ;
• la modification de permissions.

Étape 4 : Audit

Toutes les opérations effectuées via CloudLock sont enregistrées dans un journal d'audit inviolable et peuvent donc être utilisées comme preuves de conformité aux normes et aux politiques internes. Après avoir géré les documents marqués en raison de problèmes de conformité, une nouvelle analyse générera une nouvelle entrée dans le journal d'audit et permettra de confirmer que le problème a bien été résolu.

Le journal d'audit CloudLock est essentiel pour prouver que la conformité n'est pas qu'un effort ponctuel, mais une pratique continue que chaque entreprise devrait adopter au sein de leurs procédures opérationnelles régulières.

Synthèse :

Quel que soit le type ou l'emplacement des données personnelles, les entreprises doivent pouvoir les identifier, les classifier, les sécuriser et les soumettre à des audits. Grâce au Gestionnaire de conformité CloudLock, les entreprises utilisant Google Documents ont la possibilité de protéger des données extrêmement sensibles et de faire de Google Drive leur serveur de fichiers dans le cloud.