Bonjour,

Dans le cadre du RGPD, je souhaite établir un comparatif des outils ayant des fonctions permettant l'automatisation de la qualification des types de données dans des fichiers (ou autres).

L'objectif étant d'être proactif dans l'identification des fichiers constitués à partir de données à caractère personnel, en dehors des processus RGPD.

Le logiciel VARONIS semble faire le job, mais les tarifs affichés sont très chers...

Merci

dsi outils rgpd
9
7

5 réponses

il y a 9 mois par christophedenos

La ruée vers l'or a commencé :-)

RGPD avez vous besoin d'un DPO ou pas?

L'automatisation est une chose mais quel est le nombre de clients à gérer ?

Un prestataire externe de type auto-répondeur (SG becacuse français) peut vous aider dans cette démarche en fournissant un certificat de conformité, par exemple..

2
il y a 9 mois par PascalW

Salut,

Au risque de me répéter,  Varonis est le top aujourd'hui en terme de gouvernance de données. Son champ d'application est au delà du RGPD et permet un monitoring très fin des accès aux données (je l'ai vu à l'œuvre dans le cadre de SOX).
Comme je te l'ai dit je ne connais pas de concurrent en gamme intermédiaire.

Je crois me souvenir que @Pbernardon  travaillait sur un sujet proche. Peut être pourra t il t'aider?

2
il y a 9 mois par Stephane31

Salut @PascalW ,

Merci pour tes retours. J'ai vu plusieurs démos de Varonis et effectivement il fait le job, mais les couts sont prohibitifs... Il est probable qu'il existe d'autres solutions sur le marché. Sinon il y a un créneaux à prendre pour des développeurs talentueux... ;) ! A+

3
il y a 9 mois par FredericLibaud

Bonjour,

Il s'agit donc de faire de l'analyse d'impact entre autre... La CNIL à diffuser une solution en Open Source. Développée en Java elle est portable.

2
il y a 9 mois par samhee

Attention à ces logiciels qui se disent capables de faire ce type d'inventaire. si le fichier s'appelle toto et qu'il contient à l'intérieur une liste de données appelée titi contenant un numéro client, ce logiciel est-il capable de vous dire que le fichier toto contient une donnée personnelle? Je n'en suis pas sûre. Il faut, même si certains outils peuvent aider, faire une cartographie de façon manuelle et concertée avec les métiers. Bon courage.

1
il y a 9 mois par Stephane31

Bonjour, c'est exactement ce que fait ce type d'outil ;) !

1
il y a 9 mois par olivierChaillot

Bonjour à toutes (et tous par défaut ;)),

Il me semble que ce sujet est entrain et va continuer à faire couler beaucoup d'encre et permettre de nombreuses prises de têtes ...

au point que je m'interroge sur la pertinence de telles questions ! n'est-on (vous ?) pas entrain de vous prendre la tête pour rien ?

Le CRM que vous utilisez (de façon efficace je n'en doute pas) n'est il suffisant ? ce qui voudrait dire qu'il n'y a rien de plus à faire ...

d'autre part, je vous rappelle que diriger c'est arbitrer en permanence des risques ... alors ? quel est le risque ? tant au niveau du contrôle (par qui ? à quelle fréquence ? probabilité ?) qu'au niveau de la sanction ?

Cela vaut-il le coup de passer une seconde de plus sur le sujet ?

1
il y a 9 mois par PascalW

 Bonjour,

Je sens et je comprend une pointe 'agacement dans ta réponse.

Après mettre longuement interroger (y compris ici) sur la question, j'ai aussi parfois le sentiment qu'on fait un peu une tempête dans un verre d'eau. 

Néanmoins:

- Je pense que @Stephane31 veut aller au delà dans la maitrise des données et cela me semble bien. (meilleure gouvernance de son SI, forte  sécurité des données sensible,  économie de stockage, sauvegarde, lutte contre le shadows It, ...)

- Les données personnelles ne se trouve pas toute dans la CRM (le données RH par exemples)

- Je pense que la faiblesse (à priori) du risque de contrôle ne doit pas être un facteur de choix. Cela me pose un problème de responsabilité sociétale et citoyenne., d'honnêteté:  Est ce que l'utilité dune loi repose sur la sanction qui l'accompagne? Je me souviens d'une association du numérique dont le président rabâche publiquement à propos des CRM qu'on peut s'en servir pour spammer allégrement la toile on ne risque rien! quand on lui dit que c'est interdit il répond sans état d'âme que des délits sont commis tous les jours et qu'il ne voit pas le problème....  je suis un peu surpris que tu décides de défendre ce genre d'arguments, cela ne te ressemble pas..;) Peut être est ce simplement moi qui suis un peu trop bisounours ou que tu fais une violente allergie à ce nouvel acronyme (le printemps va t'être douloureux dans ce cas).

Personnellement, je trouve la question intéressante en parlant d'un type de logiciels très peu connu qui vise à assurer une gouvernance efficiente de ses données. Trop d'entreprise aujourd'hui, n'ont pas conscience de l'importance de al données y compris dans leur TPE.  Varonis est hors de leur portée mais leurs données ne sont peut être pas aussi denses et complexes. 

C'est qui justifie la question de savoir si nous connaissons des alternatives plus abordables? Les questions sur l'outillage sont fréquentes sur Skiller....

2
il y a 9 mois par Stephane31

Bonsoir @olivierChaillot ,

@pascalW connait bien le sujet et les outils permettant de répondre aux enjeux immédiats de la réglementation. Je n'ai pas ouvert la question à priori sur les opportunités liées aux questions de gouvernances, de sécurité,.. @PascalW les évoque et j'aurais plaisir à répondre à tes questions si tu le souhaites.

Voici mon point de vue (de modeste manager de systèmes d'information), elle t'apportera peut-être des éléments.

Dans la plupart des contextes d'entreprise que j'ai eu l'occasion de rencontrer, les moyens liés à la sécurité des SI ont souvent été le parent pauvre des investissements. C'est couteux, complexe, nécessite des moyens humains et en plus peut avoir des impacts négatifs sur la performance de la production. Avoir l'écoute d'un directeur sur ce type de sujet n'est pas évident (il peut même les fuir) et il faut un vrai savoir-faire. Cependant, depuis quelques années, les risques de sécurités s'accentuent, les abus et les menaces sont de plus en plus grands et spectaculaires(cf metldown et spectre) à tel point que la législation se renforce (RGPD par exemple, mais pas que). Ces questions du fait même du changement législatif ne peuvent plus être ignorées, et doivent donc faire l'objet d'une étude, d'une analyse de risque et d'hypothèses de moyens pour pouvoir y répondre. Dans la mesure où je ne suis pas le dirigeant, ce n'est pas à moi de juger de la "pertinence" ou de "la prise de tête", j'analyse, je propose et mets à disposition la ou les solutions (avec les moyens qui permettent d'y répondre).

Répondre au RGPD en terme de processus et d'organisation est une chose, mais avec un peu de perspective elle donne du corps et renforce la politique de sécurité système d'information (PSSI) et ses moyens.

Pour terminer, les outils que j'évoque peuvent rendre de grand service, mais ne sont pas vraiment connus pour qui n'est pas spécialiste des SI. Ils permettent en dehors des applications de rechercher les fichiers inconnus et d'identifier ceux possédant des données personnelles et même en qualifier le contenu.

3
il y a 9 mois par olivierChaillot

Alors, si je comprends bien la question n'est pas liée à la RGmachin mais plus à la gouvernance du SI voire de l'entreprise (RSE ...) et là, si la réponse est "oui", ma position serait certainement différente ... encore faut il poser la bonne question ;)

3
il y a 9 mois par Stephane31

@olivierChaillot ,je me suis permis d'apporter un éclairage sur les tenants et les aboutissants, puisque vous avez répondu à la question initiale par d'autres questions. Au vu de la qualité de la plupart de vos interventions, je ne pense pas vous apprendre que de la stratégie d'entreprise découlent des objectifs, les gouvernances, les politiques, les projets, les moyens et l'exécution.

La question porte toujours sur des outils (de sécurité), ayant des fonctions particulières(analyse du type de données) avec un objectif particulier (répondre au RGPD), mais rattaché à un ensemble plus grand(fastidieux à détailler ici et peu utile pour répondre au fond).

3

Vous aimez Skiller?

Rejoignez la communauté.