Solutions

Gouvernance et Conformité

Une introduction réussie et une application continue des pratiques de gouvernance et de conformité des données constituent un impératif pour toutes les organisations. Ceci s’applique à tous les référentiels de données y compris les données non-structurées stockées dans les partages de fichiers traditionnels, plate-formes collaboratives, privées, hybrides et publiques (cloud).

Le périmètre fonctionnel de Gouvernance et Conformité (IGC) fournit aux organisations les informations nécessaires à l’application de cadres logiques concernant les données non structurées. Il permet également de faciliter et de vérifier que les organisations respectent ces cadres.

Analyse complète de toutes les données non structurées pour gérer la classification : archives/non archives, propriété intellectuelle/publique, employé/client/sous-traitant, identification des données personnelles (PII), compris/ non compris dans la période de conservation, etc…

Accès libre-service à l’analyse de l’utilisation du service de fichiers soulignant les périmètres de possibles non-conformités et aidant les propriétaires des données à effectuer les actions nécessaires.

Diffusion de la culture de la responsabilité des données à tous les utilisateurs.

Fonctionnalités principales

Les fonctionnalités suivantes ne sont disponibles que pour le périmètre fonctionnel « Gouvernance et Conformité » (IGC) :

Possibilité de scanner des fichiers contenant du texte et d’identifier la présence de certaines chaines de caractères spécifiques. Cette correspondance peut être effectuée soit par correspondance simple, soit par « Pattern Matching » en utilisant des expressions régulières.

Analyses révélant les fichiers contenant les chaînes de caractères désirées. Les extraits pertinents de ces fichiers sont affichés permettant ainsi une identification rapide des faux positifs.

Exemples d’utilisation

Lorsque les zones d’intérêt sont identifiées, l’analyse de recherche de texte révèle la nature exacte des données.
Les services professionnels de Northern et de ses partenaires peuvent assister lors de la création et de la validation des règles d’extraction.
Utiliser le workflow interne pour : mettre en file d’attente, valider (auditable) et exécuter des actions sur les fichiers sélectionnés.
Compter sur la journalisation complète des actions effectuées pour s’assurer que toute décision sur les fichiers est défendable.
Démontrer une pratique fonctionnelle de surveillance de la conformité, associée à des workflow de correction, satisfait rapidement les auditeurs chargés de l’évaluation des risques.
Mettre à jour de façon automatique et régulière l’analyse du contenu du service de fichiers permet de minimiser le temps et l’effort requis pour répondre aux requêtes des auditeurs.
Scanner l’ensemble de l’environnement contenant les données non structurées (partages de fichiers SMB/CIFS, OneDrive for Business…)
Fournir un accès libre-service aux rapports récapitulatifs, ou des rapports détaillés (possibilité d’accéder aux fichiers concernés) permettant d’identifier et de responsabiliser les parties prenantes de l’organisation.
Utiliser les avantages du périmètre fonctionnel « Cadre de gestion des Données » (DSF) pour récupérer les propriétaires des données spécifiques nécessaires à la gestion de leurs données non-structurées.
Définir les profils de visualisation dédiés aux utilisateurs concernés et spécialisés.
Fournir une vision précise de l’utilisation du système de fichiers en se basant sur les métadonnées.

Protection des données

Comment gérer le RGPD au sein des données non structurées

  • Être capable de scanner rapidement un grand nombre de fichiers de différents types et trouver des informations personnelles.
  • Être capable de déterminer à qui ou à quelle partie de l’organisation appartiennent les données sensibles.
  • Être capable de distribuer l’information concernant les données sensibles de façon facile et directe au contrôleur des données, à celui qui traite les données ainsi qu’au délégué de la protection des données en assurant que les polices sont respectées.

Le Règlement Général sur la Protection des Données (RGPD) s’applique à tous types de systèmes dans lesquels des données personnelles sont stockées. La plupart des projets RGPD commence avec les données structurées (c’est-à-dire les bases de données, le système de gestion des documents, les systèmes CRM). Ces systèmes sont généralement consultables et taggables par défaut et une fois que l’organisation a choisi ce qui était considéré comme des données à caractère personnel, il est plus facile d’implémenter des politiques.

Les données non structurées (et plus précisément les données des fichiers) constituent une autre paire de manches. Les données non structurées englobent en tas de types et de formats de fichiers différents et les données sont généralement éparpillées sur les différentes plate-formes et localisations. Les fichiers ne sont pas nécessairement facilement consultables et même s’ils le sont, le contenu semblera différent d’un fichier à l’autre, et les modèles seront d’autant plus difficiles à établir. De plus, la plupart des organisations manquent de bonnes politiques concernant l’appartenance des données où les fichiers appartiennent au système ou à des comptes d’application et aucune structure hiérarchique n’existe empêchant l’information concernant ces fichiers d’être rapportée.

Pour aborder la conformité au RGPD au sein des données non structurées, il est nécessaire de:

  1. Définir les règles définissant les données sensibles et à caractère personnel dans votre organisation (numéros de sécurité sociale, informations postales etc…)
  2. Comprendre où se situent les données non structurées de l’organisation , les partages de fichiers on-premise, SharePoint, OneDrive etc..
  3. Etablir et maintenir un système d’appartenance des données pour assurer la prise en main de l’information par les bonnes personnes.
  4. Scanner ces données régulièrement pour découvrir quels fichiers contiennent probablement des données sensibles.
  5. Etablir des politiques concernant la prise en main des données sensibles et la façon dont celles-ci devraient être gardées, où etc…
  6. Identifier les données connues et délivrer cette information à l’organisation pour que les propriétaires des données eux-mêmes puissent prendre des décisions concernant les données sensibles (déplacer, supprimer etc…)
  7. Agréger et répandre l’information sur les données sensibles aux Data Stewards, chefs de département et aux exécutifs pour s’assurer que les règles sont suivies.
  8. Créer un workflow de façon à informer les individus des données personnelles dont on dispose les concernant et de la possibilité de les supprimer.

Northern peut aider à être conforme au RGPD concernant les données non-structurées en:

  1. Donnant un récapitulatif de l’environnement: quels répertoires contiennent des données non-structurées crées par les utilisateurs, qui sauvegarde quel fichier et où etc…
  2. Trouvant les fichiers similaires et les propriétaires des partages en se basant par exemple sur les activités récentes.
  3. Rassemblant les métadonnées sur les fichiers pour mettre le doigt sur les points d’intérêt.
  4. Scannant le contenu des fichiers en utilisant des mots spécifiques ou des expressions régulières pour trouver des informations potentiellement sensibles.
  5. Créant des tableaux de bord à partir desquels il est possible d’effectuer des actions (supprimer des fichiers etc…)
  6. Aidant à l’établissement des politiques autour du RGPD et des données sensibles à l’aide de recommandations.

Bien qu’il soit moins simple d’inclure des données non structurées dans un projet de RGPD, il est impératif de satisfaire aux exigences réglementaires. Avoir une meilleure prise en main sur les données non-structurées permettra également de nettoyer les données ROT (redondantes, obsolètes et triviales), d’améliorer l’efficacité et de réduire les risques bien en dessous du seuil recommandé par la loi.

Recently ransomware and malware have become an increasing problem for many organisations.

If you are a Northern customer, you already have a solution in place that could assist in getting a better handle on this problem.

Using Northern’s solution you can:

  • Prevent file types related to ransomware and malware from being saved
  • Notify the security team when these file types have been attempted to be saved, and
  • Scan the environment to find files already there, allowing for them to be easily removed

Northern’s solution has definitely prevented us from being on the from page of The New York Times.

- An American customer on using NSS as one layer of their protection against ransomware

Although not strictly a security solution, Northern has assisted a number of companies to strengthen their defence against Ransomware. Most recently Northern assisted a large engineering company to put real-time monitoring policies in place to block the saving of files with known ransomware file extensions (.locky, .crypt1, .zepto, etc.) – preventing infection. Additionally, notifications were configured to inform of any on-going infection attempts; allowing administrators to immediately identify when, where and through which accounts attempts to encrypt were being made.

While this does in no takes away the need for security solutions, such as anti-virus software, Northern’s solution can add an extra layer to your ransomware and malware prevention.

Read more about how you can use NSS to interrupt and track ransomware attacks, or contact us to discuss your organization’s specific needs.

Northern Parklife icon

Let’s take control over your data management

We accelerate the goals of growth stage companies by providing the expertise and experience they need to hit their next stage of growth faster.

Contact Us