Bonjour,
 
avec l'arrivée du RGPD (tiens j'ai vu encore aucun topic dessus), certains clients se mettent à restreindre l'accès VPN (nomade s'entend, pas site à site) à leur réseaux à des IP sources définies.
Or bon si on lance le VPN toujours du même bureau, ca va. Mais avec le télétravail, les déplacements, etc. cela bloque.
 
Certains d'entres-vous le font-ils ou sont-ils exposés au problème ?
Voyez-vous l'intérêt niveau sécurité alors que cela porte sacrément atteinte au coté "nomade" du VPN ?
Le RGPD vous semble t'il une bonne excuse pour mettre en place cela ?

Bonjour
 
A mon avis c'est débile de rentrer dans ce type de restriction pour un VPN nomade.
 
Si il est bien configuré, il faut en vouloir pour entrer dedans et surtout dans un premier temps avoir la clé et login/mdp
 
Sans compter que par la suite, il peut encore y avoir des systèmes de sécurité mais interne au réseau à ce moment là.
 
De mon coté, la restriction par IP source, je la met en place par contre pour certains serveurs web comme première couche de protection.
 
Je ne vois pas vraiment ce que vient faire la RGPD dans ce type de restriction, d'ailleurs pour moi la RGPD concerne l'informatique mais ce n'est pas de l'informatique, c'est du juridique et de la norme ISO (de l'organisation).

Le RGPD ne concerne pas ce que tu écris là...  
 
Le RGPD ce n'est pas de l'informatique tu as raison... Il faut une personne qui connaisse le droit, l'informatique et les processus métiers...
Les grosses entreprises emploieront un DPO, les moyens et petites... prestataire externe par exemple.
 
Trés petite entreprise, ils peuvent se le faire eux même.  
 
Etape :  
Il faut cartographier toutes ses données et les classer (personnel, sensibles, etc...) et voir en fonction sur quelles données sont applicables la loi.
Evaluer les risques.
Définir des plans d'action
- Supprimer les données inutiles
- Se focaliser sur les données sensibles/personnelles
 
(Une exception a été faite, à confirmer, sur les fichiers des salaires.
 
La où intervient l'informatique : on doit être à mesure de supprimer toutes les données d'un utilisateur (le droit à l'oubli) et on doit garantir un niveau de sécurité (mais bon même sans cette loi, nous avons besoin de garder ce niveau de sécurité).
 
Il y a une trés grosse confusion sur la description du problème et le RGPD.

OK merci des retours.
 
Des premiers éléments que j'ai pu moi-même glaner sur le RGPD, effectivement c'est surtout du droit. Les deux principales nouveautés étant le règlement qui est commun à tous les états membres de l'UE et extraterritorialité de son champ d'action.
Maintenant ma crainte se réalise que ce terme devienne un fourre-tout pour justifier des modifications techniques idiotes comme celle que j'ai mentionnée.

Ce n'est pas une crainte, c'est une réalité...  
 
Un utilisateur aura le droit de demander "le droit à l'oublie" => conséquence tu dois supprimer toutes données qui permet d'identifier une personne physique.
 
"Une personne physique est réputée identifiable lorsqu’elle « peut être identifiée, directement ou  
indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des  
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son  
identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »
 
Donc c'est la vrai merde...  
qu'est ce qu'on fait des noms et prénoms sur les fiches de fabrication ?
qu'est ce qu'on fait pour les sauvegardes et les archives ?
 
 
Quelles sont les risques pour l'entreprise :  
Risque d’image, Sanctions financières prises par la CNIL (jusqu’à 3 millions d’euros), sanction pénale, Risque d'invalidation d'un licenciement...
 
et tout ça pour normalement Mai 2018...  
 
Je te conseille si tu peux faire un séminaire à ce sujet avec dans le meilleur des mondes, le DSI et/ou DG et/ou DRH,RRH
 
 

Je fait la formation DPO à Assas, faut pas trop s’inquiéter à court terme, la CNIL elle même sera pas compliant pour mai 2018.  
 
ça va prendre au minimum 2 ans pour la plupart des boites.

Certes, personne ne sera 100% compliant le 25/05/2018.
 
Mais la loi Informatique et Libertés date de 1978, donc personne ne découvre les grands principes applicables en 2018  
 
Le RGPD a été voté en 2014, tout le monde a déjà eu 2 ans pour se préparer avec la version finale du texte.
 
Donc il faut au minimum démontrer que l'on a entamé une démarche. Sinon, ce sera sanction.