Guide en 5 étapes pour réduire le risque n° 1 en matière de sécurité des données

de Manuel Roldan-Vega La semaine dernière, j’ai eu l’occasion de participer à une rencontre sur la sécurité et les risques associés aux données de tiers. Tout au long de cette...
David Gibson
3 minute de lecture
Dernière mise à jour 28 octobre 2021

de Manuel Roldan-Vega

La semaine dernière, j’ai eu l’occasion de participer à une rencontre sur la sécurité et les risques associés aux données de tiers. Tout au long de cette rencontre, j’ai parlé avec des gens de différents secteurs occupant différentes fonctions.  J’ai parlé avec des responsables d’audit, des cadres informatiques, des administrateurs de stockage, des directeurs informatiques et, bien sûr, des professionnels de la sécurité.

Quelle est la première priorité en matière de réduction des risques ?

Tout le monde partageait une même préoccupation :

Comment réduire les risques et protéger les données de nos clients ?

Il a été demandé à un cadre : « Dans quel domaine souhaiteriez-vous réduire les risques en priorité ? »  Sa réponse, sans hésitation, a été que, de tous les domaines dans lesquels son entreprise (de très grande taille) est confrontée à des risques, c’est la sécurité des données non structurées qui représente la première priorité.

Cela m’a d’abord un peu étonné, mais si l’on y réfléchit, c’est parfaitement compréhensible.  Selon Gartner, les données non structurées représentent plus de 80 % de toutes les données des entreprises, et elles croissent d’environ 50 % par année.

Même les données qui sont normalement stockées dans des bases de données ou des applications sont régulièrement placées dans des feuilles de calcul, des diapositives PowerPoint, des PDF ou des emails, à des fins, respectivement, d’analyse, de présentation, de lecture ou de collaboration.

Lorsqu’on adopte cette perspective, il devient facile de voir pourquoi les données non structurées représentent le risque le plus élevé pour de nombreux départements informatiques.

Conformité et réglementation

En plus des raisons immédiates que les entreprises peuvent avoir de sécuriser leurs données non structurées, des réglementations extérieures telles que SOX, HIPAA et PCI les forcent à mettre en place des procédures assurant la protection des données appartenant à des tiers.  Malheureusement, la plupart des organisations ne disposent pas d’une méthode efficace et abordable pour mettre en place de tels contrôles et démontrer qu’ils sont appliqués.

Un responsable d’audit auquel j’ai parlé a mentionné à quel point il était difficile et long d’effectuer des attestations, et comment, pour la plupart des entreprises, les examens de droits d’accès sont des procédures manuelles et pénibles qui n’atteignent pas réellement le but final de protéger les données.

Par où commencer ?  Un guide en 5 étapes

Si vous essayez de démarrer un projet de gestion des risques dans votre entreprise, voici quelques idées utilisables pour savoir sur quoi vous concentrer :

1. Identifiez vos actifs les plus précieux

Toutes les données appartenant à des tiers ont de la valeur.  Nos clients comptent sur nous pour gérer et protéger la totalité de leurs données.  Mais il est crucial de choisir un point de départ.  Dans ce but, parlez avec les propriétaires des données et les parties prenantes principales pour déterminer quelles données sont les plus sensibles ou les plus précieuses.

2. Localisez vos actifs les plus précieux

Vous ne pouvez pas protéger des données sensibles si vous ne savez pas où elles se trouvent.  Sont-elles dans la boîte aux lettres du PDG ?  Sont-elles disséminées sur tous vos serveurs de fichiers Windows et autres serveurs NAS ?  Afin de pouvoir effectuer cette localisation en toute confiance, vous aurez besoin d’un framework de classification des données qui puisse scanner les fichiers de votre réseau à la recherche d’indicateurs de contenu sensible.

3. Identifiez où vos données sensibles sont surexposées

Vous avez probablement trouvé une myriade de données précieuses à l’étape 2.  Vous devez à présent déterminer qui peut accéder à ces données et établir des priorités parmi les ensembles de données accessibles à tout le monde.

Beaucoup d’entre nous, lorsque nous emménageons dans une nouvelle maison, changeons les serrures. Pourquoi ? Parce que nous ignorons qui a disposé d’une clé par le passé : les propriétaires, les agences immobilières, d’autres propriétaires, les constructeurs ?  Cela représente un risque important pour nous et nos familles.

Le même principe s’applique aux données appartenant à des tiers.  Nous devons identifier les personnes qui peuvent y accéder et de quel type d’accès elles disposent. Nous pouvons ensuite identifier les données surexposées, et les endroits où les permissions doivent être réduites et des propriétaires de données doivent être définis.

4. Surveiller l’accès aux données

Comment le dit mon ami @rsobers : Le contexte est roi. Pour réduire le risque, il faut en particulier surveiller les accès qui sont faits aux données et ce qui est fait avec celles-ci. Si nous surveillons les accès en permanence, nous pouvons identifier des régularités dans le comportement des utilisateurs et générer des alertes lorsqu’une activité suspecte se produit. Et si nous stockons intelligemment les données d’audit, nous pouvons les utiliser dans un contexte juridique, pour l’assistance en ligne ou l’identification des données obsolètes.

5. Utiliser l’automatisation

Êtes-vous prêt à mettre en œuvre les étapes 1 à 4 ?  Êtes-vous à la tête d’une armée d’agents informatiques qui n’ont rien de prévu pour les 50 prochaines années ?  Heureusement, vous n’aurez besoin de rien de tel.  Vous pouvez utiliser l’automatisation pour identifier les données les plus importantes, comprendre qui y accède et surveiller ce qui est fait avec ces données.

En exploitant l’automatisation pour alimenter votre tableau de bord de renseignements sur la sécurité, vous pouvez détecter les problèmes puis utiliser (à nouveau) l’automatisation pour simuler les changements et enfin exécuter automatiquement les mesures correctrices.

Voilà !  À vous maintenant de protéger les données de vos clients !  Au fait, j’oubliais, il y a une 6e étape qui ne demande aucune implication du département informatique.  Questionnez-nous à ce sujet.

Êtes-vous curieux d’évaluer la performance de votre entreprise dans ce domaine ? Obtenez gratuitement une évaluation de votre protection des données.  Nous rechercherons des failles dans votre infrastructure et vous aiderons à les combler grâce aux logiciels Varonis de protection et de gestion automatisées des données.

Photographie : http://www.flickr.com/photos/fayjo/

 

The post Guide en 5 étapes pour réduire le risque n° 1 en matière de sécurité des données appeared first on Varonis Français.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

la-feuille-de-route-en-matière-de-sécurité-des-données-que-nous-avons-utilisée-avec-plus-de-7 000 dsi
La feuille de route en matière de sécurité des données que nous avons utilisée avec plus de 7 000 DSI
Découvrez la feuille de route en matière de sécurité des données de Varonis qui a aidé plus de 7 000 DSI à se conformer aux réglementations et à protéger leurs données les plus précieuses.
comment-fonctionne-l’évaluation-des-risques-liés-aux-données-de-varonis
Comment fonctionne l’évaluation des risques liés aux données de Varonis
Découvrez comment fonctionne l’évaluation gratuite des risques liés aux données de Varonis et ce qui en fait la plus avancée du secteur.
en-quoi-l'approche-sspm-de-varonis-aide-votre-entreprise
En quoi l'approche SSPM de Varonis aide votre entreprise
Adoptez une approche axée sur les données avec le SSPM de Varonis, pour sécuriser les applications SaaS et réduire les risques. Découvrez comment obtenir une meilleure visibilité, améliorer l'automatisation et la protection.
comprendre-et-appliquer-le-modèle-de-responsabilité-partagée-dans-votre-entreprise
Comprendre et appliquer le modèle de responsabilité partagée dans votre entreprise
Pour éviter des failles de sécurité et des risques majeurs pour les données sensibles, les entreprises doivent comprendre le modèle de responsabilité partagée utilisé par de nombreux fournisseurs SaaS.