La semaine dernière, j’ai eu l’occasion de participer à une rencontre sur la sécurité et les risques associés aux données de tiers. Tout au long de cette rencontre, j’ai parlé avec des gens de différents secteurs occupant différentes fonctions. J’ai parlé avec des responsables d’audit, des cadres informatiques, des administrateurs de stockage, des directeurs informatiques et, bien sûr, des professionnels de la sécurité.
Quelle est la première priorité en matière de réduction des risques ?
Tout le monde partageait une même préoccupation :
Comment réduire les risques et protéger les données de nos clients ?
Il a été demandé à un cadre : « Dans quel domaine souhaiteriez-vous réduire les risques en priorité ? » Sa réponse, sans hésitation, a été que, de tous les domaines dans lesquels son entreprise (de très grande taille) est confrontée à des risques, c’est la sécurité des données non structurées qui représente la première priorité.
Cela m’a d’abord un peu étonné, mais si l’on y réfléchit, c’est parfaitement compréhensible. Selon Gartner, les données non structurées représentent plus de 80 % de toutes les données des entreprises, et elles croissent d’environ 50 % par année.
Même les données qui sont normalement stockées dans des bases de données ou des applications sont régulièrement placées dans des feuilles de calcul, des diapositives PowerPoint, des PDF ou des emails, à des fins, respectivement, d’analyse, de présentation, de lecture ou de collaboration.
Lorsqu’on adopte cette perspective, il devient facile de voir pourquoi les données non structurées représentent le risque le plus élevé pour de nombreux départements informatiques.
Conformité et réglementation
En plus des raisons immédiates que les entreprises peuvent avoir de sécuriser leurs données non structurées, des réglementations extérieures telles que SOX, HIPAA et PCI les forcent à mettre en place des procédures assurant la protection des données appartenant à des tiers. Malheureusement, la plupart des organisations ne disposent pas d’une méthode efficace et abordable pour mettre en place de tels contrôles et démontrer qu’ils sont appliqués.
Un responsable d’audit auquel j’ai parlé a mentionné à quel point il était difficile et long d’effectuer des attestations, et comment, pour la plupart des entreprises, les examens de droits d’accès sont des procédures manuelles et pénibles qui n’atteignent pas réellement le but final de protéger les données.
Par où commencer ? Un guide en 5 étapes
Si vous essayez de démarrer un projet de gestion des risques dans votre entreprise, voici quelques idées utilisables pour savoir sur quoi vous concentrer :
1. Identifiez vos actifs les plus précieux
Toutes les données appartenant à des tiers ont de la valeur. Nos clients comptent sur nous pour gérer et protéger la totalité de leurs données. Mais il est crucial de choisir un point de départ. Dans ce but, parlez avec les propriétaires des données et les parties prenantes principales pour déterminer quelles données sont les plus sensibles ou les plus précieuses.
2. Localisez vos actifs les plus précieux
Vous ne pouvez pas protéger des données sensibles si vous ne savez pas où elles se trouvent. Sont-elles dans la boîte aux lettres du PDG ? Sont-elles disséminées sur tous vos serveurs de fichiers Windows et autres serveurs NAS ? Afin de pouvoir effectuer cette localisation en toute confiance, vous aurez besoin d’un framework de classification des données qui puisse scanner les fichiers de votre réseau à la recherche d’indicateurs de contenu sensible.
3. Identifiez où vos données sensibles sont surexposées
Vous avez probablement trouvé une myriade de données précieuses à l’étape 2. Vous devez à présent déterminer qui peut accéder à ces données et établir des priorités parmi les ensembles de données accessibles à tout le monde.
Beaucoup d’entre nous, lorsque nous emménageons dans une nouvelle maison, changeons les serrures. Pourquoi ? Parce que nous ignorons qui a disposé d’une clé par le passé : les propriétaires, les agences immobilières, d’autres propriétaires, les constructeurs ? Cela représente un risque important pour nous et nos familles.
Le même principe s’applique aux données appartenant à des tiers. Nous devons identifier les personnes qui peuvent y accéder et de quel type d’accès elles disposent. Nous pouvons ensuite identifier les données surexposées, et les endroits où les permissions doivent être réduites et des propriétaires de données doivent être définis.
4. Surveiller l’accès aux données
Comment le dit mon ami @rsobers : Le contexte est roi. Pour réduire le risque, il faut en particulier surveiller les accès qui sont faits aux données et ce qui est fait avec celles-ci. Si nous surveillons les accès en permanence, nous pouvons identifier des régularités dans le comportement des utilisateurs et générer des alertes lorsqu’une activité suspecte se produit. Et si nous stockons intelligemment les données d’audit, nous pouvons les utiliser dans un contexte juridique, pour l’assistance en ligne ou l’identification des données obsolètes.
5. Utiliser l’automatisation
Êtes-vous prêt à mettre en œuvre les étapes 1 à 4 ? Êtes-vous à la tête d’une armée d’agents informatiques qui n’ont rien de prévu pour les 50 prochaines années ? Heureusement, vous n’aurez besoin de rien de tel. Vous pouvez utiliser l’automatisation pour identifier les données les plus importantes, comprendre qui y accède et surveiller ce qui est fait avec ces données.
En exploitant l’automatisation pour alimenter votre tableau de bord de renseignements sur la sécurité, vous pouvez détecter les problèmes puis utiliser (à nouveau) l’automatisation pour simuler les changements et enfin exécuter automatiquement les mesures correctrices.
Voilà ! À vous maintenant de protéger les données de vos clients ! Au fait, j’oubliais, il y a une 6e étape qui ne demande aucune implication du département informatique. Questionnez-nous à ce sujet.
Êtes-vous curieux d’évaluer la performance de votre entreprise dans ce domaine ? Obtenez gratuitement une évaluation de votre protection des données. Nous rechercherons des failles dans votre infrastructure et vous aiderons à les combler grâce aux logiciels Varonis de protection et de gestion automatisées des données.
Photographie : http://www.flickr.com/photos/fayjo/
The post Guide en 5 étapes pour réduire le risque n° 1 en matière de sécurité des données appeared first on Varonis Français.
What should I do now?
Below are three ways you can continue your journey to reduce data risk at your company:
Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.
See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.
Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.
