Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Explication détaillée de la DSPM : démystifier cinq fausses idées sur la sécurité des données

Le sigle du moment est DSPM dans le domaine de la cybersécurité. Toutefois, sa récente popularité s’accompagne d’une certaine confusion à propos de ce que recouvre la gestion de la posture en matière de sécurité des données. Il est temps de le démystifier.
Kilian Englert
8 minute de lecture
Dernière mise à jour 9 avril 2024
Tableau de bord DSPM

Contenu

    Il existe une surabondance de sigles et d'acronymes pour désigner les technologies liées à l'industrie de la cybersécurité. Le sigle du moment est DSPM (Data Security Posture Management) ; sa récente popularité a mis en exergue plusieurs concepts de sécurité qui jettent la confusion sur ce que recouvre la gestion de la posture en matière de sécurité des données. 

    La DSPM fournit une visibilité sur l’emplacement des données sensibles, les personnes qui y ont accès et la manière dont ces données sont utilisées, ainsi que sur la configuration des contrôles et autorisations de sécurité dans les dépôts de données ou les applications qui hébergent les données. 

    Habituellement, les efforts en matière de sécurité des données se concentrent sur toutes les couches situées avant les données : pare-feu, endpoints, passerelles, etc. Ces couches constituent un obstacle que les attaquants doivent surmonter et franchir pour atteindre leur véritable cible, à savoir, les données stockées dans les dépôts de données classiques et les applications SaaS. 

    Pour garder une posture solide en matière de sécurité des données, vous devez protéger les données là où elles se trouvent. De cette façon, en cas de défaillance ou de lacune au niveau des autres couches, la sécurité est maintenue car les données principales sont verrouillées. 

    Après ces explications, il est temps de mettre fin aux fausses idées concernant la DSPM.  

    Vous préférez l’écoute à la lecture ? Alexandre Carlier, responsable de l’architecture sécurité chez Varonis, et moi-même, nous vous expliquons ce qu’est exactement la DSPM ainsi que les fausses idées qui l’entourent dans cet enregistrement 

    Planifiez une démonstration personnalisée de 30 minutes avec l'un de nos experts en sécurité.
    Demander une démonstration

    Fausse idée no 1 : la DSPM est un concept totalement nouveau.  

    La vérité : le concept de DSPM existe depuis des années.  

    Bien que le terme DSPM soit nouveau, les concepts de la découverte et de la protection des données sensibles existaient déjà. Il est néanmoins utile pour désigner cette méthodologie. 

    Auparavant, la plupart des organisations n’avaient pas l’habitude d’adopter une approche axée sur les données. Le terme DSPM a ouvert de nouvelles voies de réflexion en matière de sécurité pour les personnes qui n’avaient peut-être jamais utilisé cette approche. 

    De nombreux fournisseurs de DSPM peuvent vous indiquer où sont exposées vos données sensibles et si elles sont à risque, mais ne peuvent pas corriger cette exposition. 

    Depuis le tout début, Varonis s’est donné pour mission de découvrir où se trouvent les données sensibles, de mapper les accès et les autorisations, de vérifier qui accède aux données, puis de prendre des mesures pour remédier à l’exposition et verrouiller les données.  

    Même si le terme DSPM désigne des concepts anciens, il contribue à encadrer la conversation et permet à chacun de travailler dans une même optique : la sécurisation des données à valeur ajoutée. 

    Fausse idée no 2 : la DSPM concerne uniquement l'infrastructure cloud et le DevOps.  

    La vérité : la DSPM concerne les données, et les données sont partout.  

    Si l’on considère le marché actuel de la DSPM, l’accent est mis sur les données liées aux plateformes d’infrastructure comme Azure Blob, S3, les lacs de données et les bases de données, c’est-à-dire le back-end principal où les utilisateurs créent différents produits et solutions. 

    Mais la DSPM va plus loin. Certes, l’infrastructure et le développement font partie de la méthodologie, mais les données ne résident pas uniquement dans les plateformes d’infrastructure. Une partie des données les plus critiques se trouvent dans le SaaS, où les utilisateurs ont le contrôle, et le SaaS présente également une large surface d’attaque. 

    À titre d’exemple, Salesforce est le back-end d’applications nombreuses et variées concernant des secteurs aussi divers que la finance et la santé, et ne sert pas seulement pour la vente. Beaucoup de données sensibles peuvent s’y retrouver. Les utilisateurs peuvent exporter ces données et les charger dans Box, puis les partager avec d’autres utilisateurs, dans un cycle perpétuel. 

    Du côté du stockage traditionnel des données, pensez à Google Workspace, Box ou Microsoft 365 – les données finissent par atterrir sur ces plateformes collaboratives. Mais la DSPM ne concerne pas seulement l’application dans laquelle arrivent vos données, elle concerne également le cycle de vie de ces dernières. 

    Prenons l’aspect DevOps : lorsque les équipes DevOps créent des applications qui résident sur cette infrastructure, où se trouve potentiellement le code ? Ce code source peut se trouver dans un environnement comme GitHub, ce qui constituerait une couche supplémentaire à protéger dans le cadre de votre stratégie DSPM. 

    Pour comprendre le cycle de vie de vos données, gardez toujours en tête ces deux éléments :

    1. Réfléchissez de manière critique à tous les endroits où vos données pourraient se trouver. Chez Varonis, nous discutons avec des équipes qui ont souvent une vision étroite de l’emplacement des données, sans toujours prendre en compte les interactions possibles entre leurs plateformes. Faites preuve d’ouverture d’esprit et ne présumez pas que les données se trouvent uniquement là où vous le pensez.
    2. Chaque plateforme est unique. Des modèles d’autorisations aux capacités d’audit, la façon dont chaque système est mis à jour et maintenu est très différente. Salesforce, Google Workspace et Zoom sont toutes trois des applications importantes, mais elles n’ont presque rien en commun. Chacune d’elles présente des problèmes spécifiques en matière de sécurité, que nous devons être en mesure de résoudre individuellement pour chaque plateforme.

    Bien que la majeure partie de la DSPM se concentre sur le cloud, n’oublions pas que les systèmes sur site vont perdurer. La gestion globale de votre posture doit en tenir compte. 

    Les mêmes défis existent pour les systèmes sur site, mais à une échelle différente. Les quantités de données stockées sur site restent considérables et les autorisations peuvent être potentiellement complexes, même si nous utilisons les autorisations NTFS depuis des années.  

    Fausse idée no 3 : la DSPM est une question de découverte.  

    La vérité : la découverte n'est que la première étape.  

    La découverte est une priorité pour tous, et à juste titre. Il est essentiel de comprendre où vos données sont stockées, quel type de données sont stockées, et comment vos utilisateurs interagissent avec elles. Toutefois, ce n’est que la première étape.  

    Les entreprises disposent d’énormes quantités de données qui augmentent chaque jour. Trier les fichiers un par un n’est ni réaliste ni efficace. La découverte automatisée des données vous offre un contexte supplémentaire pour décider de manière plus éclairée du contenu de votre politique de sécurité et des moyens de sa mise en œuvre.  

    Sans découverte, les organisations ne peuvent pas prendre de décisions fondées sur leur environnement réel. Cependant, la découverte des données n’est pas le seul objectif ; ce n’est qu’une étape du processus visant à identifier et à réduire les risques. 

    Ce qui compte vraiment, c’est la manière dont vous appréhendez ces résultats, puis les traduisez en une réduction réelle des risques et une amélioration de votre stratégie de sécurité. En formulant des politiques que votre organisation peut appliquer (et qui ne resteront pas au stade théorique), vous pourrez garder le contrôle de vos données.   

    Pour choisir où concentrer efficacement vos efforts, il est essentiel de prioriser la sensibilité de vos données, leur activité, et les autorisations d’accès. Posez des questions telles que : « Qui peut accéder aux données sensibles et que peuvent faire ces personnes ? », « Qui n’a pas accès à ces données ? », et « Qui, au sein de l’entreprise, partage ces informations hors de l’entreprise dans le cadre de ses fonctions ? ». 

    Fausse idée no 4 : tout repose sur la couverture. 

    La vérité : une visibilité approfondie permet de réduire les risques.  

    Cette fausse idée va de pair avec la fausse idée no 3 concernant la découverte, évoquée plus haut. La découverte et la recherche de données sur toutes les plateformes imaginables ont leurs limites.  

    Certes, il est important de réfléchir de manière critique à l’emplacement de vos données. Mais sans une visibilité approfondie sur les plateformes et les applications SaaS qui hébergent les données, il sera difficile, voire impossible, d’évaluer et de réduire les risques liés à ces données. Il ne faut pas croire que votre couverture est optimale du point de vue technique alors qu’aucun contexte n’est donné pour aider à réduire les risques. 

    Vous devez trouver le juste équilibre entre avoir de la visibilité dans de nombreux domaines différents et avoir une visibilité en profondeur qui, dans les faits, vous permettra de mettre en place des contrôles de sécurité efficaces.

    Si votre visibilité manque de profondeur et que vous n’avez pas les moyens d’exécuter des mesures de sécurité, vous passez à côté de l’aspect gestion de la DSPM. Il ne s’agit pas seulement de découvrir où se trouvent les données ; une sécurité adéquate doit être assurée en aval. Vous devez agir de manière à sécuriser vos données bien au-delà de la surface.

    Fausse idée no 5 : les workflows résolvent les problèmes.  

    La vérité : les workflows résolvent souvent les problèmes de surface, mais pas les causes profondes.  

    La fermeture d’un ticket d’assistance ouvert ne signifie pas que le problème a vraiment été résolu. Les workflows et les plans sont importants, mais ce qui compte, c’est l’exécution.  

    L’emploi de workflows n’écarte pas les risques d’erreur humaine, qu’il s’agisse d’une mauvaise évaluation de la situation ou de la correction des symptômes seuls, et non des causes profondes. Il est important de comprendre la structure de votre processus et d’effectuer un test de résistance sur les résultats des workflows mis en œuvre.  

    À mesure que vos données se multiplient, vous devez vous assurer que vos workflows prennent en compte leur évolutivité. Les plateformes SaaS sont conçues pour des niveaux élevés de collaboration ; vos données s’y trouvent et y sont partagées.  

    L’automatisation peut vous aider à lutter contre les menaces qui pèsent sur vos données et à prendre des décisions lorsque les êtres humains ne le peuvent pas, par exemple en bloquant immédiatement l’accès à des fichiers spécifiques si l’activité d’un utilisateur est suspecte.  

    L'approche de Varonis en matière de DSPM 

    Chez Varonis, tout tourne autour des données.  

    Le stockage des informations sensibles à de nombreux emplacements et l’augmentation constante de la collaboration au sein des organisations ne font qu’accroître votre rayon d’exposition. Les dégâts qu’un utilisateur donné pourrait infliger à des fins malveillantes ou à cause d’une simple erreur augmentent sans cesse. 

    Dans un réseau d’eau potable, s’il y a des fissures, l’eau fuit. Il en est de même pour les données. Même si vous disposiez d’une équipe de sécurité de plus de 1 000 personnes, il se produirait toujours des problèmes liés aux erreurs humaines. Les équipes de sécurité ont besoin d’une plateforme dédiée à tous les aspects de la cybersécurité, y compris une solution DSPM fiable.  

    Varonis protège vos données où qu’elles se trouvent, que ce soit dans vos référentiels SaaS, sur site, dans les référentiels cloud privés, au sein de l’IaaS (Infrastructure as a Service) et/ou dans des bases de données structurées. Nous voulons nous assurer que vous disposez d’une visibilité d’ensemble sur tous les emplacements, car les données finiront par s’y retrouver. 

    Le tableau de bord DSPM personnalisable de Varonis permet aux organisations d’évaluer facilement leur posture en matière de sécurité grâce à une interface intuitive et personnalisable. Repérez aisément les risques tels que l’exposition des données sensibles, les erreurs de configuration, les violations de politiques, les activités suspectes concernant les données, les identités utilisateur périmées et à risques, etc.  

    DSPM Dashboard_DebunkingBlog

    Nos tableaux de bord DSPM vous offrent, à vous et à vos auditeurs, un aperçu en temps réel et hiérarchisé des risques liés aux données et de leur évolution au fil du temps.

    Non seulement notre plateforme de sécurité des données vous donne une vue d’ensemble des risques, mais notre système automatisé corrige également les problèmes détectés. Notre solution intègre des politiques de remédiation prêtes à l’emploi et utilise l’automatisation du modèle de moindre privilège afin que vous puissiez identifier les risques dans votre environnement dès le premier jour, ce qui éliminera les risques d’exposition des données an public et dans toute l’organisation. Corrigez les erreurs de configuration d’un simple clic grâce à la gestion automatisée de la posture. 

    Les plateformes cloud d’aujourd’hui présentent leurs propres défis en matière de sécurité, notamment le problème des identités utilisateur individuelles. Varonis vous permet de surveiller les identités de vos utilisateurs à tous les emplacements où se trouvent vos données afin de repérer instantanément les activités malveillantes et de comprendre les comportements habituels dans votre environnement.  

    Notre équipe de réponse proactive aux incidents surveille vos données dès le premier jour, afin que vous puissiez vous concentrer sur d’autres aspects de votre travail, sans recevoir d’e-mails et de notifications d’alerte redondants. Nos analystes tirent parti de notre expérience collective en matière de sécurité ; non seulement ils envoient des alertes, mais ils signalent les incidents pouvant nécessiter une enquête.  

    LeastPrivilegeAutomation_DebunkingBlog

    Varonis propose des politiques de remédiation prêtes à l’emploi que vous pouvez adapter à votre organisation. Vous définissez les règles, et nos robots feront le reste.

    Lors d’un récent webinaire, Mike Thompson, de Varonis, et moi-même, avons présenté dans le détail la stratégie de sécurité des données que nous avons utilisée en collaboration avec plus de 7 000 DSI, et expliqué pourquoi notre plateforme de sécurité des données constitue le meilleur choix pour les organisations qui cherchent à visualiser précisément leurs données, à exploiter les fonctionnalités de classification et à bénéficier d’une remédiation automatisée pour une protection réussie des données. 

    Regardez notre webinaire en entier pour en savoir plus sur la DSPM et découvrir comment la bonne solution peut vous aider à améliorer la stratégie de sécurité de votre organisation. 

    Prêt(e) à agir ? Nous vous conseillons de commencer par notre évaluation des risques sur vos données, mondialement reconnue, pour voir où votre environnement est le plus exposé et accroître la protection dans le cadre de votre stratégie de sécurité.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Kilian Englert
    Kilian Englert

    Kilian a une expérience dans l'ingénierie de la sécurité d'entreprise, ainsi que dans la vente de solutions de sécurité. Kilian est un professionnel certifié de la sécurité des systèmes d'information (CISSP) et crée du contenu interne et public sur des sujets liés à la cybersécurité et aux meilleures pratiques technologiques.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).