Le nouveau GDPR (Règlement général sur la protection des données) est un règlement de l'Union européenne qui vise à renforcer la protection des données dans tous les Etats membres, en remplacement de la Directive de 1995.

Ce règlement, contrairement à une directive, n'a pas besoin de faire l’objet de textes votés au plan national  pour être adopté par les gouvernements.

Cela inclut presque toutes les organisations ayant des clients, fournisseurs ou employés dans l'UE.

A travers des dispositifs nouveaux, comme la protection des données dès la conception, le chiffrement ou la « pseudonymisation », les fabricants d’objets connectés en Europe ont une véritable carte à jouer pour faire de la protection de la vie privée un atout commercial.

DNS et GDPR : sécurité et réglementation se rejoignent. Quelles sont les mesures à mettre en place ?

En vertu de la nouvelle loi, adoptée par le Conseil de l'UE et le Parlement le 14 avril 2016, les organisations européennes seront tenues d'appliquer de nouvelles mesures, y compris des évaluations d'impact sur la protection des données, des normes de sécurité extrêmement exigeantes ou la mise en œuvre de politiques de confidentialité appropriées.

Dans les entreprises et organisations, beaucoup seront tenus de nommer un délégué à la protection des données : les « Processeurs de données » et « Contrôleurs de données' »devront garder une trace de toutes les activités de traitement de données dans leurs entreprises.

Une démarche de sécurité et de respect de la vie privée obligatoire.

Les ingénieurs impliqués dans la plupart des projets technologiques au sein de l'Union européenne devront se conformer dès la conception à une démarche de sécurité et de respect de la vie privée.

Cela suppose que la confidentialité des données soit conforme aux plus hautes exigences.

ð Quant aux paramètres de protection des données, ils devront être insérés dans tous les processus de gestion à un niveau élevé et par défaut.

La sécurité des données jouera un rôle encore plus critique et devra être assurée de bas en haut.

ð Cela comprend notamment la couche de DNS (1).

Les architectures de réseau devront décourager le détournement de DNS et l'utilisation des DNS pour l'exfiltration de données.

 Le GDPR impose une règle générale de notification de violation des données, et les organisations devront suivre certaines procédures spécifiques si un tel événement se produit.

Les Contrôleurs de Données n'auront que 72 heures pour informer les autorités compétentes de ce qui s'est produit et des volumes de données concernées.

Dans le pire des cas, les organisations devront également informer le public de la violation ou vol de données, ce qui devrait entrainer des retombées sur leur réputation.

ð Le GDPR : Ce règlement entrera en vigueur le 25 mai 2018, ce qui signifie que les entreprises ont moins de deux ans pour s'y conformer ; un délai relativement court au vu des différentes étapes préparatoires à suivre.

De lourdes sanctions et des amendes élevées sont prévues en cas de perte de données : elles pourront en effet atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel au plan mondial

Le fait de fournir une sécurité suffisante au niveau du DNS devrait permettre aux entreprises de réaliser d'énormes économies et d'éviter les poursuites inutiles.

 La confiance des clients, des partenaires et des salariés dans la marque d'une entreprise est cruciale pour protéger l'activité de celle-ci, tant sur le court terme que sur le long terme ; elle  est tout aussi importante que le risque de poursuites.

Le trafic de DNS doit être soigneusement surveillé et analysé pour détecter les tentatives d'exfiltration de données cachées dans le trafic réseau.

Les systèmes de filtration DNS qui fonctionnent comme la filtration web, peuvent contrôler la réputation des liens par rapport à une liste noire en temps réel et vérifier automatiquement si la requête DNS est digne de confiance ou si elle peut représenter un risque de vol de données.

ð La sécurité du DNS est un principe de base de la sécurité et du respect de la vie privée dès la conception d’une architecture.

Aussi, les organisations désireuses d'être préparées au GDPR doivent se demander si elles ont un plan conforme pour protéger leurs réseaux, leurs données, leurs clients... et leur réputation.

(1) Qu'appelle-t-on DNS ?

Chaque ordinateur directement connecté à internet possède au moins une adresse IP propre.

Cependant, les utilisateurs ne veulent pas travailler avec des adresses numériques mais avec un nom de domaine ou des adresses plus explicites (appelées adresses FQDN) du type www.aiservice.fr

Ainsi, il est possible d'associer des noms en langage courant aux adresses numériques grâce à un système appelé DNS (Domain Name System).

On appelle résolution de noms de domaines (ou résolution d'adresses) la corrélation entre les adresses IP et le nom de domaine associé.

Noms d'hôtes

Aux origines de l’internet, étant donné que les réseaux étaient très peu étendus et que le nombre d'ordinateurs connectés à un même réseau était faible, les administrateurs réseau créaient des fichiers appelés tables de conversion manuelle. Ces tables de conversion manuelle étaient des fichiers séquentiels, généralement nommés hosts ou hosts.txt, associant sur chaque ligne l'adresse IP de la machine et le nom littéral associé, appelé nom d'hôte.

Le système précédent de tables de conversion nécessitait néanmoins la mise à jour manuelle des tables de tous les ordinateurs en cas d'ajout ou de modification d'un nom de machine.

 Ainsi, avec l'explosion de la taille des réseaux, et de leur interconnexion, il a fallu mettre en place un système de gestion des noms hiérarchisé et plus facilement administrable.

Le système nommé Domain Name System (DNS) : Système de nom de domaine, a été mis au point en novembre 1983, puis révisé en 1987 dans les RFC 1034 et 1035.

Le DNS a fait l'objet depuis de nombreuses RFC (Request For Comments) : c’est un ensemble de documents qui font référence auprès de la Communauté Internet et qui décrivent, spécifient, aident à l'implémentation, standardisent et débattent de la majorité des normes, standards, technologies et protocoles liés à Internet et aux réseaux en général.

Le système DNS propose :

-         un espace de noms hiérarchique permettant de garantir l'unicité d'un nom dans une structure arborescente.

-         un système de serveurs distribués permettant de rendre disponible l'espace de noms.

-         un système de clients permettant de « résoudre » les noms de domaines, c'est-à-dire interroger les serveurs afin de connaître l'adresse IP correspondant à un nom.