Aller au contenu principal

Conformité NIS2 et GDPR

VaultPAM est conçu comme une infrastructure de conformité pour les organisations de l'UE soumises à NIS2 et au GDPR. Cet article met en correspondance les fonctionnalités de VaultPAM avec les exigences spécifiques qui s'appliquent à la gestion des accès à privilèges.

Article 21 de NIS2

L'article 21 de la directive NIS2 impose aux organisations de mettre en œuvre des mesures techniques et opérationnelles appropriées et proportionnées pour gérer les risques. Le tableau ci-dessous met en correspondance ces mesures spécifiques avec les fonctionnalités de VaultPAM.

Exigence de l'article 21 de NIS2Fonctionnalité VaultPAMOù la configurer
Authentification multifacteur pour tous les accès à privilègesPolitique d'application de MFA ; prend en charge TOTP et les clés matériellesParamètres de l'organisation > Sécurité > Application de MFA
Journalisation et surveillance des sessions à privilègesEnregistrement complet des sessions avec piste d'audit ; chaque action est journaliséeAdmin > Journal d'audit
Contrôle des accès et moindre privilègePolitiques d'accès au niveau du coffre-fort ; octrois Just-in-Time (JIT) ; flux d'approbationMoteur de politiques > Création de politiques
Réponse aux incidents et piste d'auditJournal d'audit inviolable avec export CSV ; enregistrements de sessions comme preuves forensiquesAdmin > Journal d'audit > Exporter en CSV
Sécurité de la chaîne d'approvisionnementIsolation des connecteurs ; chaque connecteur dispose d'un jeton à portée limitée ; les connecteurs compromis peuvent être révoquésAdmin > Gestion des connecteurs

Obligations GDPR relatives aux accès à privilèges

Le GDPR impose des obligations aux responsables du traitement et aux sous-traitants des données à caractère personnel. Les accès à privilèges aux systèmes hébergeant des données à caractère personnel doivent être contrôlés et documentés.

Article 32 -- Mesures techniques et organisationnelles

VaultPAM satisfait à l'art. 32 en assurant le chiffrement des identifiants au repos (via le moteur de secrets OpenBao), le chiffrement des enregistrements de sessions, l'application de MFA et une piste d'audit complète de tous les événements d'accès à privilèges.

Article 5, paragraphe 1, point f) -- Intégrité et confidentialité

Le principe d'intégrité et de confidentialité (art. 5, par. 1, point f)) exige que les données à caractère personnel soient traitées de manière à garantir une sécurité appropriée. VaultPAM applique ce principe au niveau de l'infrastructure : les identifiants ne sont jamais exposés en clair dans l'interface après extraction, les sessions sont enregistrées et auditables, et les politiques d'accès empêchent les utilisateurs non autorisés d'atteindre les ressources protégées.

Article 30 -- Registre des activités de traitement

Le journal d'audit de VaultPAM fournit un enregistrement continu de qui a accédé à quel système, quand et pendant combien de temps. Ce journal peut être exporté au format CSV et utilisé comme preuve dans votre registre des activités de traitement (ROPA) au titre de l'art. 30. Le journal d'audit est inviolable et conservé pendant une durée configurable (par défaut : 90 jours).

Résidence des données

Pour les déploiements SaaS, toutes les données des locataires sont stockées exclusivement dans GCP europe-central2 (Varsovie, Pologne). Les données ne quittent pas l'UE. Cela satisfait aux exigences de résidence des données du GDPR et de NIS2 pour les organisations établies dans l'UE.

Pour obtenir une confirmation écrite (par exemple, dans le cadre d'une analyse d'impact relative aux transferts de données), demandez un accord de traitement des données (DPA) à l'adresse support@vaultpam.com. Le DPA précise la région de traitement et les sous-traitants ultérieurs.

Articles connexes