RGPD vs ISO

L’apport de la gestion des accès à privilèges

(PAM) à la conformité réglementaire.
Une cartographie comparative.

WALLIX I 2018
 RGPD vs ISO
L’apport de la gestion des accès à privilèges
(PAM) à la conformité réglementaire.
Une cartographie comparative.

RÉSUMÉ

Cette cartographie a pour but de mettre en évidence les similitudes entre les exigences
de gestion des accès à privilèges (PAM) induites par le Règlement Général européen sur
la Protection de Données (RGPD) et le standard international ISO/IEC 27001:2013. Elle
a pour objectif d’aider les lecteurs à comprendre comment une solution de gestion des
accès à privilèges, complète et simple d’utilisation, peut être utilisée pour répondre à
plusieurs prérequis de conformité sans perturber les activités quotidiennes des
utilisateurs et administrateurs. Cette cartographie souligne la valeur ajoutée du PAM
et distingue les cas d’usages directs et indirects dans lesquels il peut être employé
pour aider les entreprises à bénéficier d’une double conformité.

2

GDPR
Article Note
Les subdivisions décrites
dans l’Article 5 spécifient
que les données
personnelles doivent être :
conformes et tenues à
5 jour (1d) et traitées de
manière sécurisée pour
protéger leur intégrité et
leur confidentialité (1f).
Le RGPD défend un Droit
d'accès des individus à
leurs données. Par
exemple, ils peuvent
demander des
informations sur qui a, ou
15 aura, accès à leurs
données personnelles,
et dans quels cas elles
seront utilisées (1c).
La direction responsable
du traitement des
données personnelles
doit assurer et fournir la
preuve de la mise en
24
œuvre de mesures de
sécurité des informations
selon l’état de l’art.
Pour garantir un niveau
optimal de protection
des données à la
conception et par
défaut, le RGPD exige
25
que des mesures
techniques et
organisationnelles
appropriées soient mises
en œuvre (2) et
démontrées (3).
Légende :
Besoin direct
Aide à la conformité
RGPD vs ISO – Cartographie des réglementations • WALLIX 2018
ISO/IEC 27001:2013
Section Note
Une majorité de contrôles
A.5
couverts dans l'ISO 27001
A.6
répond de cet article, le
A.9
standard international ayant
A.11
pour but d’appliquer les
A.12
mesures de sécurité à l’état de
A.15
l’art pour anticiper de futures
A.16
normes réglementaires.
A.18
Les sections 6, 9 et 12 de l'ISO
27001 couvrent trois éléments
clés de l'Article 15 du RGPD en
mandatant l’implémentation de
A.6 mesures de sécurité pour
permettre de fournir les
A.9
preuves nécessaires quant au
A.12 traitement des données
personnelles (processus de
traitement, intervenants,
fréquence de traitement, cadre
d’intervention
L'ISO 27001 répond largement
aux prérequis de l'Article 24
du RGPD, de la définition des
A.5 rôles et l’implémentation
A.6 d’une politique de sécurité
adaptée, au renforcement le
A.9
contrôle des accès.
A.12
A.15
L'ISO 27001 identifie plusieurs
contrôles qui répondent à
l'Article 25 du RGPD, dont
A.5 certains traitent
A.6 particulièrement des mesures
de sécurité d'accès et de
A.9
contrôle des activités des
A.12 utilisateurs, en interne comme
A.15 en externe.
Privileged Access Management
Valeur ajoutée
Le PAM joue un rôle clé dans le respect
de ces scénarios ; il renforce l'accès aux
données critiques et offre aux super
administrateurs une visibilité complète
sur chaque utilisateur privilégié et leur
session, y compris ce qu'ils font, quand
et comment.
Une solution de PAM fournit à un super
administrateur la visibilité complète sur les
accès et activités des utilisateurs privilégiés
dès leur connexion à un système cible ; il
peut grouper et lister les utilisateurs à
privilèges selon leur droits et leurs rôles,
attribuer ou révoquer des droits d’accès,
tracer, contrôler et enregistrer les sessions et
lignes de commandes, etc. Cette visibilité
peut aider les autorités compétentes en
charge du contrôle et de l’implémentation
des bonnes pratiques de sécurité à répondre
au principe de Droit d'accès du RGPD.
Le PAM aide à définir une politique et
des principes de sécurité minutieux en
accompagnant les super administrateurs
dans la mise en place de ségrégation des
tâches via la définition de droits d'accès
et l'attribution de rôles. Il renforce aussi
la sécurité des informations personnelles
par le contrôle des accès et des sessions
et peut fournir des preuves précises de
sécurité des informations.
Une solution de PAM accompagne les
entreprises européennes dans la définition et
la mise en œuvre de mesures de sécurité
qu’elles ont identifiées pour se conformer au
RGPD et respecter l'ISO 27001 en sécurisant
tous les accès et les sessions privilégiées,
notamment grâce à des fonctionnalités de
chiffrement et gestion des mots de passe, et
de gestion centralisée des accès (avec une
visibilité complète de tous les comptes,
utilisateurs, rôles et sessions en temps réel ou
après un incident via l'enregistrement des
sessions).
3

GDPR
Article Note
Lorsque le traitement des
données implique
l'intervention de tiers, le
responsable du
traitement doit assurer et
justifier le suivi des
règles et la conformité
au RGPD de tous les
tiers pour garantir la
28
protection de données.
Le RGPD exige que les
sous-traitants aient
seulement accès et
traitent les données
29
dont ils ont besoin selon
les instructions du
responsable du
traitement.
Chaque responsable du
traitement des données
doit garder un registre
détaillé de toutes les
activités de traitement
sous sa responsabilité.
(1&2).
30
RGPD vs ISO – Cartographie des réglementations • WALLIX 2018
ISO/IEC 27001:2013
Section Note
Les contrôles A.15 et A.18 de
l'ISO 27001 sont consacrés au
contrôle des relations
fournisseurs pour assurer la
sécurité de l'information et la
conformité des entreprises à
leur politique interne. Le
A.9
contrôle A.9 identifie les
A.15 mesures de sécurité
A.18 spécifiques qui aident les
organisations à atteindre ce
but.
Les contrôles A.5 et A.18 de
l'ISO 27001 aident le
responsable du traitement à
A.5 définir la politique et les
A.9 mesures de sécurité des
organisations. Le contrôle A.9
A.18
traite la mise en œuvre de ce
processus.
Le contrôle A.6 permet la
définition d’un certain nombre
de mesures de sécurité à
mettre en place pour renforcer
la capacité de visibilité des
responsables du traitement sur
les utilisateurs, en particulier à
travers le principe de
A.6 ségrégation des droits et des
A.9 rôles. Les contrôles A.9 et
A.15, adressant
A.15
respectivement les Contrôles
d'Accès et les Relations
Fournisseurs permettent
l’application concrètes de ces
mesures.
Privileged Access Management
Valeur ajoutée
Le module de gestion des sessions d'une
solution de PAM enregistre tous les journaux
d'activités et les lignes de commandes des
parties externes et permet aux super
administrateurs d'avoir une visibilité totale
sur les écrans des tiers en temps réel, comme
s'ils étaient devant leur ordinateur. Ces
fonctions peuvent permettre la découverte et
la remontée d’alertes d’activités
frauduleuses, puis la fermeture automatique
ou manuelle des sessions. Elles peuvent
également fournir des preuves utiles à la
construction de rapports d'audit lors de
notifications d’incidents, en analysant qui a
fait quoi, quand et comment. La solution de
PAM assure aussi que les actions des tiers et
leurs accès soient limités au seul périmètre
de leur mission.
Une solution de PAM permet aux
responsables du traitement de définir
des règles d'accès spécifiques selon les
droits de chaque utilisateur à privilèges
et leur offre la possibilité de créer des
groupes et sous-groupes en fonction de
chaque privilège et accès.
Dès l’instant où ils se connectent aux
systèmes cibles, l’activité des
utilisateurs est enregistrée par la
solution de PAM et peut être revue
sous différentes formes (liste de
journaux des logs, copies d’écrans,
vidéos etc.). Le PAM peut s’intégrer
complètement avec d'autres solutions
de cybersécurité comme des solutions
de SIEM pour améliorer le contrôle des
activités et la gestion des incidents, et
ainsi fournir un cycle de sécurité
complet.
4

GDPR
Article Note
Le RGPD appelle à une
évaluation des risques de
sécurité et à la mise en
place de règles strictes
pour garantir la
32 disponibilité des données
en maintenant leur
intégrité et leur
confidentialité tout en
optimisant la résilience en
cas d'un incident.
Les brèches de données
personnelles et incidents
doivent être notifiés aux
autorités de surveillance
dans les 72 heures après
33 l’événement et sans délai.
Avant même de traiter les
données, le responsable
du traitement doit évaluer
le risque de sécurité
potentiel et l'impact du
traitement des données
sur la confidentialité et
l’intégrité de l'information.
35
RGPD vs ISO – Cartographie des réglementations • WALLIX 2018
ISO/IEC 27001:2013 Privileged Access Management
Section Note Valeur ajoutée
Plusieurs contrôles de Quatre éléments principaux du PAM aident à
l’ISO 27001 aident à l’implémentation des exigences de sécurité
décrites : un coffre-fort à mots de passe
répondre aux
garantissant la sécurisation des accès grâce à des
exigences de l'Article
mots de passe cryptés inconnus des utilisateurs
A.5 32. Ils permettent aux renforcée par des mécanismes de gestion des mots
organisations
A.6 de passe (rotation périodique et automatique des
d'adresser et de mots de passe, AAPM, etc.), la gestion et la
A.9
maintenir un cycle de traçabilité des sessions privilégiées, et le contrôle
A.16 sécurité complet, de la des accès et des droits utilisateurs grâce à la mise
en application des principes de moindres privilèges.
A.18 définition des mesures
Une solution de PAM devrait aussi facilement
adéquates à leur mise
s’intégrer avec d'autres technologies pour s’inscrire
en œuvre et dans un écosystème de cybersécurité de bout en
évaluation. bout.
Le contrôle A.16 de Une solution de PAM fournit aux responsables de la
l’ISO 27001 traite de la sécurité des informations précises sur les sessions
des comptes privilégiés et permet la génération
gestion des incidents
d’informations nécessaires à la construction de
de sécurité et fournit
rapports d’audit via la collecte des méta données
A.16 aux organisations les des sessions. Cet aspect peut accompagner les
outils nécessaires pour responsables de la sécurité dans leur réponse aux
respecter l'Article 33. exigences de notification d’incidents de l’Article 33
en contextualisant et en rejouant les étapes clés
d’une brèche.
Le contrôle A.6 aide à Le PAM permet aux administrateurs de créer,
définir un certain modifier ou supprimer des groupes et sous-
nombre de mesures de groupes d’utilisateurs de manière très fine. Il
sécurité. Cette étape aide les administrateurs à avoir une visibilité
peut donner aux totale sur le nombre d'utilisateurs dans leur
responsables du système pour faciliter l’allocation des rôles.
traitement une De la même manière, les administrateurs
visibilité plus complète peuvent directement assigner le juste niveau
sur leurs utilisateurs et de privilège pour chacun de leurs utilisateurs
faciliter l’évaluation depuis un point central de commande, leur
des risques et des permettant ainsi de répondre au principe du
A.6
impacts de sécurité moindre privilège en ségrégant les droits
liés au traitement des d’accès. Avec chaque rôle et privilège
données. clairement défini, le PAM permet aux
responsables du traitement d'évaluer le
risque lié au traitement des données en
réduisant la probabilité de connexions non
autorisées ou d’activités négligentes.
5
 RGPD vs ISO – Cartographie des réglementations • WALLIX 2018

GDPR ISO/IEC 27001:2013 Privileged Access Management

Article Note Section Note Valeur ajoutée

Il est attendu des
autorités de contrôle
qu’elles appliquent les
pratiques d’état de l’art
en matière de sécurité et
disposent de codes de
A.5
40 conduite pour assurer
A.6
l'application appropriée
du RGPD. A.18
Les contrôles A.5 et A.6
fournissent les fondations
d’une structure de sécurité
minutieuse et des mesures
d’implémentation qui en
découlent. Pour respecter
l'Article 40, les codes de
conduite disposés par des
autorités de contrôle peuvent
et doivent être déterminés par
des exigences de sécurité en
interne et de conformité aux
autres lois et réglementations
(A.18).
Une solution de PAM aide des
responsables de la sécurité à définir et
mettre en œuvre des mesures de
cybersécurité adaptées à leurs enjeux.
L'installation d'une solution de PAM exige
que des administrateurs créent, ajustent, ou
suppriment de manière fine des groupes et
sous-groupes d'utilisateurs pour leur
donner une visibilité complète des droits
d'accès et des rôles des utilisateurs. Il leur
donne aussi la capacité d'isoler des tâches
pour répondre au principe du moindre
privilège. Ces éléments sont clés pour
répondre à l'Article 40 du RGPD.

Les autorités de contrôle Alors que les autorités de Une solution de PAM peut limiter et
en charge de veiller à la contrôle devraient avoir le superviser l'accès et les sessions des
conformité des droit d'accéder et de traiter autorités de contrôle pour leur
entreprises au RGPD les données personnelles permettre de traiter et voir les seules
pour protéger les nécessaires à la performance informations dont ils ont besoin,
données personnelles A.6 de leur mission, les diminuant le risque de négligence et
58 européennes ont le droit responsables du traitement d’erreurs humaines. Le module de
A.9
d'avoir accès et de des données devraient garder gestion des sessions du PAM peut
traiter n'importe quelles la visibilité sur leurs activités et également fournir un relevé des
informations nécessaires leurs accès pour assurer une activités qui ont été perpétrées sur les
à l’accomplissement de protection des données systèmes, offrant une couche de
leurs missions (1). supplémentaire et rester sécurité supplémentaire
conformes aux bonnes
pratiques de sécurité.

Les autorités de contrôle Répondre à l'Article 59 du Le PAM fournit aux responsables de la

doivent produire un RGPD exige la mise en place
rapport annuel de toutes de mesures de gestion des
leurs activités (types incidents de sécurité de
d'infraction, mesures de l'information, décrites dans le
sécurité prises pour contrôle A.16 de l'ISO 27001.
59 renforcer la protection de La réponse aux objectifs de ce
A.16
données, etc). contrôle produira les
informations nécessaires à
l’écriture de ces rapports
d’activités.
sécurité des informations clés sur les
sessions des comptes à privilèges et
leur permet de construire des rapports
d’audit renseignant les activités de
n'importe quelle session administrative
ayant eu lieu sur un système cible. De
tels éléments peuvent venir enrichir le
rapport d'activités annuel exigé dans
l'Article 59 du RGPD.

Cette table de cartographie ne constitue pas un avis juridique dans le respect et la conformité
au Règlement Général européen sur la Protection de Données (RGPD).

6
 BUREAUX & REPRESENTATIONS
LOCALES

WALLIX FRANCE (HQ)

http://www.wallix.com/fr
Email : sales@wallix.com
250 bis, rue du Faubourg Saint-Honoré
Editeur de logiciels de cybersécurité, WALLIX Group est le
75017 Paris - FRANCE
spécialiste Européen de la gouvernance des comptes à privilèges. Tél. : +33 (0)1 53 42 12 90
Fax : +33 (0)1 43 87 68 38
A l’ère de la transformation numérique, les enjeux de
cybersécurité touchent l'ensemble des entreprises, en WALLIX UK
particulier lorsque les données qu’elles traitent ont un caractère http://www.wallix.co.uk
personnel ou sensible, et ce, qu’elles soient gérées en interne Email: ukinfo@wallix.com
1 Farnham Rd, Guildford, Surrey,
ou confiées à un prestataire externe. En outre, l'évolution GU2 4RG,UK
récente des réglementations en Europe (NIS/RGPD) et en Office: +44 (0)1483 549 944
France (OIV) pousse les entreprises des secteurs sensibles à
implémenter une véritable politique de cybersécurité au cœur WALLIX DEUTSCHLAND
de leur activité. La solution de type bastion WALLIX est une http://www.wallix.de
plateforme logicielle qui aide ces acteurs dans leur mise en Email: deinfo@wallix.com
Landsberger Str. 398
conformité en s’adaptant à leurs enjeux. Elle constitue la
81241 München
première offre du marché certifiée CSPN par l’ANSSI et équipe Phone: +49 89 716771910
déjà plus de 100 opérateurs dans ces secteurs.
WALLIX USA (HQ)
WALLIX accompagne plus de 400 entreprises et organisations http://www.wallix.com
au quotidien dans leur gestion des accès à plus de 100 000 Email: usinfo@wallix.com
équipements et applications. Ses solutions sont distribuées à World Financial District, 60 Broad Street
travers un réseau de plus de 90 revendeurs et intégrateurs Suite 3502, New York, NY 10004 - USA
Phone: +1 781-569-6634
formés et certifiés. Cotée sur EuroNext sous le code ALLIX,
WALLIX Group est l’un des leaders du marché du PAM avec une
forte présence sur toute la zone Europe et EMEA. Alain Afflelou, WALLIX RUSSIA & CIS
http://www.wallix.com/ru
Dassault Aviation, Gulf Air, Maroc Telecom, McDonald's, Email: wallix@it-bastion.com
Michelin, ou encore PSA Peugeot-Citroën lui font confiance au ООО «ИТ БАСТИОН»
quotidien pour sécuriser leurs systèmes d'information. 107023, Россия, Москва,
ул. Большая Семеновская, 45
Тел.: +7 (495) 225-48-10
La solution Wallix AdminBastion Suite a été primée aux
Computing Security Awards 2016 et élue « Best Buy » par SC
Magazine. La société est membre de BPI Excellence, Champion WALLIX ASIA PACIFIC
(Bizsecure Asia Pacific Pte Ltd)
du Pôle Systematic Paris Region et membre fondateur du Email: contact@bizsecure-apac.com
Groupement Hexatrust. 8 Ubi Road 2, Zervex 07-10
Singapore 408538
Tel: +65-6333 9077 - Fax: +65-6339 8836
Twitter : @wallixcom
Plus d’information : www.wallix.com WALLIX AFRICA
SYSCAS (Systems Cabling & Security)
Email: sales@wallix.com
Angré 7ème Tranche Cocody
06 BP 2517 Abidjan 06
CÔTE D'IVOIRE
Tél. : (+225) 22 50 81 90

CERTIFIÉ CSPN

www.wallix.com