Upload
sebastien-paulet
View
359
Download
1
Embed Size (px)
Citation preview
aOS Réunion26 Octobre 2017
RGPD : Comment O365 va vous aider?
@SP_twit – Sébastien Paulet – SPT Conseil
aOS Maurice & Réunion24 et 26 Octobre 2017
Speaker presentation
France
Enterprise Solutions
Architect
SPT Conseil
Speaker on
#DMS, #Archiving,
#SharePoint,
#Scrum, #Lean,
#Ergonomy
@SP_twit
Bloghttps://sppublish.wordpress.com
aOS Maurice & Réunion24 et 26 Octobre 2017
Agenda
GDPR IS COMING
25 MAI 2018
aOS Maurice & Réunion24 et 26 Octobre 2017
Données personnelles
• Nom
• Numéro d’identification (ID)
• Adresse email
• Identifiant utilisateur (UID)
• Emplacement
• Détails bancaires
• Adresse IP
• Cookies
• Messages sur les médias sociaux
• Informations génétiques, physiologiques ou physiques
• Informations médicales
aOS Maurice & Réunion24 et 26 Octobre 2017
Sources de contenus dans O365
SHAREPOINT
Teams
OneDrive
Yammer
Groups
Planner
EXCHANGE
aOS Maurice & Réunion 24/26 Octobre 2017
Cloud – Microsoft sous-traitant de vos données
aOS Maurice & Réunion24 et 26 Octobre 2017
Engagement contractuel
• Engagement depuis 2014
• Dans les conditions d'utilisation :
"Microsoft s’engage envers l’ensemble de ses clients à appliquer les Conditions du GDPR à compter du 25 mai 2018. " + une annexe dédiée
• Revu et approuvé par le G29
aOS Maurice & Réunion24 et 26 Octobre 2017
Responsabilité
Gouvernance des données
et gestion des droits
Responsabilité
SharePoint
Online Hybride
Azure/
IaaS Localement
Points de terminaison
clients
Gestion des comptes et
des accès
Infrastructure d identités
et d annuaires
Contrôles réseau
Applications
Système d exploitation
Réseau physique
Centre de données
physique
ClientMicrosoft
Hôtes physiques
aOS Maurice & Réunion 24/26 Octobre 2017
Vos obligations
aOS Maurice & Réunion24 et 26 Octobre 2017
Obligation du responsable des traitementsArticle 5 - les données à caractère personnel doivent être :
• a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence); -> TRANSPARENCE
• b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités […]; c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); -> FINALITE
• d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); -> MAJ/EXPORT/SUPPRESSION
• e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées[…]; -> DUREE DE RETENTION
• f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); -> SECURITE
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).
aOS Maurice & Réunion 24/26 Octobre 2017
Vos obligations - Transparence
aOS Maurice & Réunion24 et 26 Octobre 2017
Transparence
• New! : Disclamer pour les utilisateurs extérieurs
• New! : Multi geocapability
• New! : Yammer et les index du moteur de recherche seront eux aussi geo localisés.
• New! : Data center FR Q2 2018
aOS Maurice & Réunion 24/26 Octobre 2017
Vos obligations - FINALITE
aOS Maurice & Réunion24 et 26 Octobre 2017
Identifier les contenus personnels
• Faites l’inventaire des données personnelles pouvant apparaitre
-> Registre des traitements (si >250 employés ou si traitement particulier)
aOS Maurice & Réunion24 et 26 Octobre 2017
Comment avaler un éléphant?
Une bouchée après l’autre …
Risque
Facilité
aOS Maurice & Réunion24 et 26 Octobre 2017
Classer – mise en place d’une politique de gouvernance• Définissez des catégories pour vos:
• Teams
• Groups
• Yammer
• SharePoint
• OneDrive / Mailboxes
afin de mieux pouvoir les organiser
• New! : nouvelle centrale d’administration SharePoint online avec possibilité d’ajouter des colonnes sur la liste des collections de sites
aOS Maurice & Réunion24 et 26 Octobre 2017
Classer – Plan de classement SharePoint• Les documents sont la trace d’un process métier
-> Le plan de classement est le reflet de l’organisation du process métier
aOS Maurice & Réunion24 et 26 Octobre 2017
Classer – Plan de classement SharePoint
• Les premiers niveaux « invariants » sont des sous sites ou des bibliothèques.
• Les classements sur des process mûrs se font avec des métadonnées
• Pour les « cases management », pensez aux documents sets
• Pour les process moins formels, dossiers/sous dossiers
aOS Maurice & Réunion24 et 26 Octobre 2017
Détecter – Labels / Etiquettes
• Définissez « Typologie » de contenus transverse à l’entreprise.
• 1 seule par contenu
• Gestion : « Sécurité et conformité »> « Classifications » > « Etiquettes » > … >« Publier les étiquettes »
• Peut être appliquée manuellement par l’utilisateur final depuis les programmes clientsou les interfaces web
• Rapport disponibles
aOS Maurice & Réunion24 et 26 Octobre 2017
Détecter – Labels / Etiquettes automatiques• Application automatique des Etiquettes sur les contenus sensibles
dans Exchange Online, SharePoint Online, and OneDrive for Business.
• Gestion : « Sécurité et conformité »> « Classifications » > « Stratégies d’étiquettes » > « Appliquer automatiquement une étiquette »
aOS Maurice & Réunion24 et 26 Octobre 2017
Détecter – Protection contre la perte des données - Data Loss Prevention Policies
• Application de comportements en fonction des étiquettes
• Exemple : Possibilité de bloquer ou alerter lors de l’accès ou du partage
• Rapports disponibles
aOS Maurice & Réunion 24/26 Octobre 2017
Vos obligations - RETENTION
aOS Maurice & Réunion24 et 26 Octobre 2017
Records Management - Retentionpolicies• Durée de rétention par bibliothèque ou par content type dans
SharePoint
• Possibilité d’associer une rétention policy à un etiquette : « XX année/mois/semaine/jours après [métadonnées] » alors supprimer/déclarer comme enregistrement
• New! : Arrivée annoncée de rétentions basées sur événements
aOS Maurice & Réunion 24/26 Octobre 2017
Vos obligations -MAJ/EXPORT/SUPPRESSION
aOS Maurice & Réunion24 et 26 Octobre 2017
eDiscovery
• Recherche cross boites mails/SharePoints
• Possibilité :• D’exporter• Geler• Suspendre les périodes
de rétention
• New! : eDiscovery sur messages Yammer
aOS Maurice & Réunion 24/26 Octobre 2017
Vos obligations - SECURITE
aOS Maurice & Réunion24 et 26 Octobre 2017
Gestion des menaces
aOS Maurice & Réunion24 et 26 Octobre 2017
AUDIT
aOS Maurice & Réunion24 et 26 Octobre 2017
IRM
• New! : arrivée d’IRM sur O365 (déjà dispo en onPrem)
• Faire porter les permissions définies au niveau de SharePoint sur le document.
• Système de clef publique/clef privé et un encryptage des documents à la volée (chiffrement AES avec clefs 128 et 256 bits pour les documents)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
aOS Maurice & Réunion24 et 26 Octobre 2017
SECURITY SCORE
• Bonnes pratiques pour sécuriser votre tenant.
• Accessible sur https://securescore.office.com/
aOS Maurice & Réunion 24/26 Octobre 2017
Au delà – Obligation d’assistance
aOS Maurice & Réunion24 et 26 Octobre 2017
COMPLIANCE MANAGER
• Normes supportées par Microsoft (GDPR, ISO, etc.)
• Critères et actions à faire coté client
• Informations à saisir directement.
• New! : Disponibilité générale Q1 2018.
aOS Maurice & Réunion 24/26 Octobre 2017
Conclusion
aOS Maurice & Réunion24 et 26 Octobre 2017
Conclusion…
• Nombreux outils déjà présents ou a venir pour répondre à la loi
• Tout ne reposera pas sur le sous traitant
• Critère fort de différentiation avec la concurrence pour Microsoft
• Concerne aussi Azure et SQL
• N’oubliez pas le facteur humain…
aOS Maurice & Réunion 24/26 Octobre 2017
Thanks to our sponsors!Merci à nos sponsors
Platinum