Hello tout le monde,
 
 
 
Comme tous j'imagine, nous sommes dans le jus pour la RGPD. De mon côté, je cherche un outils permettant d'avoir une liste complètes de qui accèdent aux fichiers/répertoires sur notre réseau.
Actuellement, nous avons nos serveurs de fichiers sur du Windows 2008 R2 / 2012 R2 (migration sous peu en 2016), et j'aimerai savoir qui fait un copié collé de quoi etc...
 
Nous avons étudier Varonis qui a un produit vraiment au top, mais à presque 100 000€ leur produit .... impossible pour nous.
 
 
Qu'utilisez-vous chez vous ? (environnement Windows).
 
 
Très bonne journée à tous,

les event logs

Oui mais pas forcément le plus simple à ressortir avec un tri par date etc... et il a les copiés collés dessus par exemple sur l'event log ?

Hello

J'ai acheté/installé FileAudit sur nos 2 fileservers, ça fait le taff (fichier uniquement, pas d'AD et autres).
https://www.isdecisions.fr/logiciels/fileaudit/

/E : C'était il y 2-3 ans, donc en-dehors de considérations RGPD-esqes.

je plussoie !
 
ça suffit amplement.
 
ça logue les accès lecture/écriture, donc juste ce qu'il faut.
 
l'effet pervers c'est que ça fait exploser la taille du journal de sécurité

Non lecture et écriture ne suffit pas pour la RGPD, en cas de piratage de ton système, tu dois dire qui a pris quel fichier (donc aussi les copiés collés) ça risque d'être juste en retour d'infos.  
 
A moins qu'il soit possible de récup cette information quelque part ?

c'est quoi un copier coller si c'est pas une lecture suivie d'une écriture ?

Oui mais toi tu auras le log d'une lecture, rien ne dit que tu as fait un copié collé ailleurs (tu auras pas l'info de l'écriture si sur une clé USB ou via le réseau).

Je ne vois pas le lien avec le RGPD

tu peux faire la meme chose sur les postes clients
donc aussi surveiller les écritures sur clef USB

le truc que tu ne verras pas dans l'event log c'est si il envoie ça par FTP / HTTP

mais comme t'as un proxy, tu le verras simplement ailleurs.

mais oui, on s'écarte du sujet

"Je ne vois pas le lien avec le RGPD :??"
 
Tu dois être capable de donner qui a fait quoi sur ton système en cas de hack. Donc pouvoir dire que le jours X la personne est partie avec X données (avec une liste précise), le soucis avoir juste l'info de lecture, ne veut pas dire que la personne a copié collé la donnée.

Je n'ai rien lu dans le RGPD en rapport avec cela.
 
Que maitriser son SI l'implique, OK.
Mais le RGPD c'est spécifiquement en rapport avec les données personnelles. Pas avec la sécurité du SI dans sa globalité.
 
Après, si j'ai loupé un article du RGPD, je suis preneur

Pour moi c'est l'article 33 et 34 de la RGDP qui impose d'avoir cette info (sauf erreur de ma part, car les articles ne sont vraiment pas précis).
 
 
 
 
 
Article 33 -  
 
"Notification à l'autorité de contrôle d'une violation de données à caractère personnel
En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.
Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
La notification visée au paragraphe 1 doit, à tout le moins:
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés;
 
c) décrire les conséquences probables de la violation de données à caractère personnel;
 
Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.
Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article."
 
 
Article 34 :
 
 
"Communication à la personne concernée d'une violation de données à caractère personnel
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).
La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie:
a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement;
 
b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser;
 
c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
 
Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie."
 
 
 
Après j'en fait peut être une lecture trop stricte ou erroné, mais pour moi, pour avertir quelqu'un que ses données sont dans la nature, il faut encore savoir si quelqu'un les a prise ou non (entre autre).

Bon bas nous allons pouvoir tester ça, je viens d'apprendre que nous avons subis un cambriolage sur une de nos agences, avec 4 ordinateurs portables d'embarqués ......... i am happy lol

Ce produit a l'air pas mal du tout :  
 
https://www.manageengine.com/fr/active-directory-audit/
 
 
Quelqu'un l'utilise ? (ça permets d'avoir un serveur de log et un outils de mise en forme des events windows).

Pour moi, dans ces articles, ça ne concerne pas les données des utilisateurs, mais le vol de données contenant des informations personnelles sur les personnes (nom, prénom, date de naissance, adresse, etc, etc, etc, toute donnée à caractère personnelle visées par la RGPD)
Donc de toute façon des bases déjà déclarées à la Cnil, ou sous le contrôle d'un logiciel (donnée RH, par exemple), normalement cryptées, etc...enfin bref, absolument pas toutes les données de tous les utilisateurs de tout un réseau

Les articles mentionnées ne sont pas en relation avec le fait d'auditer les accès aux données mais avec l'obligation d'informer en cas de violation de données à caractère personnel et d'évaluer l'étendue et l'impact de cette violation.