Guide sur la conformité GDPR pour les containers et le cloud
Si vous avez joué un rôle dans la conception ou la gestion des environnements cloud d’une manière ou d’une autre au cours des dernières années, vous connaissez déjà probablement le General Data Protection Regulation, ou GDPR. Le GDPR, qui est entré en vigueur en 2018, est l’un des principaux dispositifs législatifs relatifs à la conformité les plus récents à s’intéresser au virtuel. En tant que tel, il a été conçu spécialement pour l’informatique cloud, contrairement aux dispositifs de conformité plus anciens (comme l’HIPAA et la PCI DSS).
Le GDPR n’empêche certainement pas les entreprises d’exécuter des workloads dans le cloud, mais il établit un certain nombre de règles que de nombreuses organisations doivent suivre afin d’héberger des applications ou des données dans le cloud. Dans cet article, nous expliquons ce que le GDPR signifie pour le cloud computing, quelles entreprises doivent se conformer aux règles du GDPR et comment sécuriser les environnements cloud de manière à favoriser la conformité au GDPR.
Qu’est-ce que le GDPR ?
Le GDPR est un règlement de l’Union européenne visant à protéger le droit à la vie privée numérique. Il réglemente la manière dont les entreprises stockent et traitent ce qu’il appelle les « données personnelles », qui sont définies à l’article 4 comme suit :
Toute information relative à une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques de l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
Où le GDPR s’applique-t-il ?
Bien que le GDPR soit un règlement de l’Union européenne, il a de larges implications pour les entreprises du monde entier.
En effet, le GDPR s’applique à toute organisation qui collecte ou traite les données personnelles des résidents de l’UE, même si l’organisation elle-même est basée en dehors de l’UE et n’utilise pas d’infrastructure basée dans l’UE pour stocker ou traiter ces données personnelles. Si vous hébergez un site Web sur un serveur en Californie ou si vous exécutez une application SaaS à partir d’un centre de données au Japon, vous pouvez être soumis au GDPR si des résidents de l’UE utilisent votre site ou votre application, même si votre entreprise n’a pas de présence directe dans l’UE.
Notez également que, contrairement à certains dispositifs législatifs de conformité, le GDPR ne prévoit pas d’exemptions pour les petites organisations. Il s’applique à toutes les entités, quelle que soit leur taille. Il simplifie certes certaines procédures de conformité pour les entreprises de moins de 250 employés, mais il ne les exempte pas réellement des exigences fondamentales du GDPR.
Quelles sont les exigences de la norme GDPR ?
Le texte du GDPR dans son intégralité est assez long. Mais ses principales conclusions, qui sont résumées à l’article 5, se résument à sept principes clés que les organisations doivent respecter lorsqu’elles stockent ou traitent des données personnelles :
- Légalité, équité et transparence : les organisations doivent être transparentes sur la façon dont elles utilisent les données personnelles, et elles doivent les gérer d’une manière que le GDPR juge raisonnable sur la base du droit établi.
- Limitation de l’objectif : les organisations doivent utiliser les données à des fins spécifiques et limitées ; elles ne peuvent pas, par exemple, collecter des données personnelles et les stocker indéfiniment sans raison.
- Réduction des données : les organisations devraient limiter la collecte de données personnelles au minimum nécessaire pour atteindre les objectifs commerciaux.
- Précision : les organisations doivent s’efforcer de garantir l’exactitude des données qu’elles recueillent et stockent sur les personnes, et elles doivent donner aux consommateurs la possibilité de corriger les données inexactes.
- Limitation du stockage : les organisations ne doivent pas conserver les données personnelles plus longtemps que nécessaire.
- Intégrité et confidentialité (sécurité) : les organisations doivent mettre en œuvre des mesures de sécurité raisonnables pour empêcher l’abus ou l’accès non autorisé aux données personnelles.
- Responsabilité : les organisations doivent être en mesure de démontrer qu’elles adhèrent aux principes du GDPR.
Si ces principes définissent l’objet du GDPR, le GDPR lui-même n’est pas très précis quant à la manière dont les principes doivent être appliqués. Il n’indique pas exactement combien de temps les organisations sont autorisées à stocker des données, par exemple ; il applique simplement un principe de limitation raisonnable du stockage. Il ne précise pas non plus exactement comment sécuriser les environnements qui contiennent des données sensibles ; il dit simplement que les organisations doivent prendre des mesures raisonnables pour les sécuriser.
Ainsi, le GDPR laisse essentiellement aux organisations le soin de déterminer comment traduire ses principes dans la pratique. Les meilleures pratiques en matière de conformité au GDPR varieront donc considérablement d’une entreprise à l’autre, en fonction des types de workloads qu’elles exécutent.
Quelles conséquences si vous ne respectez pas la conformité au GDPR ?
Le GDPR est assez clair en ce qui concerne les amendes pour non-conformité. Elles peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel d’une organisation, le montant le plus élevé étant retenu. Il convient de noter que les amendes sont imposées par infraction, ce qui signifie qu’une entreprise pourrait se retrouver à payer ces sommes de façon répétée si les régulateurs la jugent coupable de plusieurs infractions à la conformité.
Toutefois, les amendes de conformité au GDPR sont évaluées en fonction de la gravité de l’incident de non-conformité, et des frais moins élevés sont possibles. Le GDPR étant relativement récent, peu de cas d’application ont été recensés jusqu’à présent pour démontrer combien la non-conformité au GDPR peut coûter en pratique dans différents types de circonstances. Mais des amendes salées ont déjà été infligées, notamment à Amazon pour un montant de 636 millions d’euros.
Conformité du cloud au GDPR : meilleures pratiques
Le GDPR n’étant pas très précis sur la manière de mettre en œuvre ses principes, il n’existe pas de règles strictes sur la manière de concevoir et de gérer un environnement cloud conforme au GDPR. Toutefois, il existe quelques bonnes pratiques standard à suivre.
Utiliser un cloud conforme au GDPR
Avant toute chose, assurez-vous que votre fournisseur cloud respecte les règles du GDPR lorsqu’il gère sa propre infrastructure. Tous les principaux clouds promettent la conformité au GDPR pour la plupart de leurs services, cela ne devrait donc pas être un problème, même si vous pouvez faire vos recherches pour déterminer si le fournisseur a eu des problèmes de conformité au GDPR dans le passé.
Anonymiser les données
Bien que l’anonymisation des données ne garantisse pas que les données personnelles ne seront pas exposées à un accès non autorisé, l’anonymisation de toutes les données que vous stockez ou traitez dans le cloud est une bonne pratique pour atténuer le risque de problèmes de conformité au GDPR.
Utiliser des politiques de cycle de vie des données du cloud
La plupart des clouds publics fournissent des outils de gestion du cycle de vie des données qui peuvent, entre autres, supprimer automatiquement les données lorsqu’elles atteignent un âge déterminé. Envisagez d’utiliser ces outils pour aider à mettre en œuvre le principe de limitation du stockage du GDPR sans avoir à recourir à la suppression manuelle des données.
Chiffrer les données du cloud
Le chiffrement des unités de stockage dans le cloud, des bases de données et d’autres lieux de stockage est une autre bonne pratique qui permet d’atténuer le risque d’exposition des données personnelles. Vous devez également chiffrer les connexions réseau qui transfèrent des données sensibles, et réduire l’ampleur du transfert de données sensibles au sein de votre environnement cloud ou entre le cloud et des sites externes.
Baliser et classer les ressources cloud
Utilisez les systèmes de balisage ou d’étiquetage de votre fournisseur de cloud pour classer et organiser les ressources du cloud. Bien que la non-utilisation de balises ne constitue pas en soi un problème de conformité, les balises peuvent réduire le risque que vous stockiez ou traitiez accidentellement des données sensibles quelque part dans votre environnement cloud sans le savoir – un risque qui peut poser un réel problème dans les environnements cloud à grande échelle partagés par plusieurs utilisateurs ou équipes.
Appliquer des contrôles d’accès au cloud
Utilisez l’IAM de votre fournisseur cloud pour limiter les utilisateurs, les applications et les services qui peuvent accéder aux données personnelles dans le cloud. Il est tout aussi important d’analyser automatiquement vos configurations IAM afin de détecter les oublis qui peuvent conduire à un accès non autorisé, comme une règle IAM qui permet à n’importe qui sur Internet de consulter des données qui ne devraient pas être publiques.
Conformité GDPR pour les containers
Les pratiques ci-dessus s’appliquent à pratiquement tout type de workload basé sur le cloud. Cependant, il y a quelques considérations supplémentaires de conformité au GDPR à garder à l’esprit lorsque l’on travaille avec des environnements basés sur des containers.
Analyse des images de containers
L’analyse des images de containers peut vous aider à identifier les logiciels malveillants, les vulnérabilités ou d’autres risques qui peuvent exister dans les images de containers. Si vous exécutez des containers, l’analyse des images fait partie des contrôles de sécurité raisonnables que vous devez mettre en œuvre pour la conformité au GDPR.
Journalisation des audits
Si vous utilisez Kubernetes, vous pouvez profiter de la journalisation des audits de Kubernetes pour détecter les problèmes de sécurité potentiels dans votre environnement en containers. La journalisation des audits peut aider à prouver votre responsabilité en matière de GDPR. Elle peut également être considérée comme un contrôle de sécurité de base que les organisations sont censées mettre en œuvre.
Gérer les données de containers
La gestion des données personnelles peut être particulièrement difficile lorsqu’on travaille avec des containers. Dans certains cas, les données personnelles peuvent d’abord exister à l’intérieur des containers, puis être déplacées vers un emplacement externe, tel qu’un volume de stockage Kubernetes. Il est important de s’assurer que vous chiffrez les données personnelles lorsqu’elles passent par toutes les couches de votre infrastructure en containers. Vous devez également vous assurer de chiffrer et de sécuriser autrement les connexions réseau entre les containers et les microservices, ce que vous pouvez faire à l’aide d’outils tels que les services Mesh.
Outils RBAC des containers
Si les frameworks IAM du cloud sont utiles pour appliquer des contrôles d’accès génériques à l’ensemble de votre environnement cloud, il leur manque la granularité et la nuance d’outils tels que Kubernetes RBAC et les contextes de sécurité lorsqu’il s’agit de sécuriser spécifiquement les containers. Vous devez tirer parti de tout outil de contrôle d’accès spécifique aux containers disponible dans votre environnement pour renforcer votre conformité au GDPR pour les containers.
Conclusion
Bien que le GDPR ait des implications majeures sur la façon dont les organisations du monde entier utilisent le cloud et les containers, il est assez faisable de se conformer à ses règles. Pour ce faire, il faut d’abord comprendre les principes fondamentaux de conformité et de sécurité que le GDPR vise à faire respecter, puis déterminer quels outils et pratiques vous pouvez mettre en œuvre dans votre environnement pour répondre aux exigences du GDPR.