La visibilité est une condition préalable de la sécurité

de Rob Sobers Hier soir, j’ai regardé un excellent numéro de l’émission This Week in Startups qui avait pour invité Aaron Levie de Box.net. Aaron est un jeune directeur général...
David Gibson
3 minute de lecture
Dernière mise à jour 3 août 2022

de Rob Sobers

Hier soir, j’ai regardé un excellent numéro de l’émission This Week in Startups qui avait pour invité Aaron Levie de Box.net. Aaron est un jeune directeur général remarquable qui semble réellement comprendre et se préoccuper des logiciels d’entreprise, deux qualités qui se retrouvent rarement chez un même homme.

Un des thèmes de l’entretien était la façon dont les directeurs informatiques et les départements informatiques des grandes organisations commencent à adopter le cloud, par le bas et par le haut simultanément.

L’invité a également remarqué que les entreprises Fortune 500 commencent à développer ou à acquérir des solutions de cloud pour les inclure dans leur portefeuille (par exemple, Oracle achète RightNow, SAP achète SucessFactors). Le cloud, le cloud et encore le cloud.

Puis, après environ 20 minutes d’entretien, le sujet clé ignoré jusqu’ici est enfin évoqué : et la sécurité ?


 

Même les entreprises les plus progressistes, remarque Aaron, ont la philosophie suivante : utilisez tous les appareils que vous voulez (Mac, PC, iPhone), utilisez tous les logiciels que vous voulez, mais sécurisez les données à tout prix.

Il serait stupide de ne pas le faire. Il n’est pas question ici de fichiers MP3 ou de photos de chatons. Il est question de propriété intellectuelle, de code source, de brevets, de documents juridiques et des ressources humaines, etc.

À mesure que la définition de « sûr » évolue, chaque département informatique est confronté à des décisions difficiles.

Nous devons disposer d’un modèle de sécurité adapté au modèle de travail décentralisé d’aujourd’hui. Comment trouver le bon équilibre entre sécurité et efficacité ? Entre disponibilité et verrouillage ?

Levie poursuit :

Nous devons redéfinir la sécurité et ce que cela signifie de gérer la sécurité. On pénètre alors dans cette catégorie où la visibilité est la sécurité. Si je dispose d’une plus grande visibilité sur les emplacements où se trouvent mes données, qui les utilise, tous les accès, tous les événements qui les concerne, alors, malgré la plus grande ouverture, les gens utiliseront le produit et je verrai réellement ce qui arrive aux données.

La visibilité, en elle-même, n’est pas la sécurité. Si je place les données financières et la propriété intellectuelle de mon entreprise dans le cloud et que j’ai une visibilité complète sur qui accède aux données, tout ce que cela garantit est que je pourrais voir les gens voler ces informations. Imaginez une banque qui installerait des caméras de sécurité et déclarerait qu’elle est sécurisée. En supposant que les bandes de sécurité et les pistes d’audit sont effectivement utilisées pour détecter et répondre aux activités non désirables, les responsables d’audit appellent de telles mesures des « contrôles de détection ».

Pour être plus précis, la visibilité est une condition préalable de la sécurité. Les contrôles de détection sont une pièce essentielle du puzzle : ils vous permettent de configurer efficacement des « contrôles de prévention » et de vérifier que ceux-ci ont le fonctionnement souhaité. La combinaison de contrôles de détection et de prévention vous aide à éviter des catastrophes et à détecter ce que vous n’avez pas su complètement éviter.

Les organisations réellement sécurisées établissent des règles, des procédures et des contrôles fondées sur la visibilité, qui comprennent les examens de droits d’accès, la prévention des pertes de données, la classification des données, l’effacement responsable, l’eDiscovery, la récupération après sinistre, et de nombreux autres éléments. Il a fallu des années pour que ces systèmes de prévention et de détection atteignent la maturité.

Un niveau similaire de maturité devra être atteint dans le cas du cloud.

Si vous vous préparez à déplacer vos données d’entreprise dans le cloud, prenez en considération les questions suivantes :

  • Même si un fournisseur de cloud donné vous donne une visibilité complète sur l’accessibilité et l’utilisation, comment l’intégrez-vous dans votre infrastructure existante ? Et les autres données de cloud ?
  • La visibilité sur le contrôle d’accès et l’utilisation n’est pas le seul type de contrôle dont vous avez besoin. L’inspection de contenu, la continuité opérationnelle et la reprise après sinistre, les politiques de conservation des données, les processus d’autorisation : tous ces éléments doivent être gérés.
  • Le département informatique sait combien il est difficile de normaliser ces contrôles sur une infrastructure qui est en place depuis des années et qui est complètement maîtrisée ; or les fournisseurs de cloud cherchent encore comment résoudre ces problèmes, leurs capacités de contrôle varient fortement, et les interfaces des différentes fournisseurs peuvent varier également.
  • Les organisations doivent définir un niveau minimal de contrôle pour chaque plateforme, sur cloud ou sur site. Visibilité de contrôle d’accès et exécution automatisable des changements, audit complet intégrable avec d’autres technologies, inspection des contenus, archivage automatique, etc.

Répondre à ces préoccupations de gestion des données par vous-même est déjà difficile ; convaincre Google, Amazon et Box de respecter vos règles alors que ces sociétés ont leurs propres objectifs, et bien sûr des milliers d’autres clients à satisfaire, c’est encore autre chose.

La promesse du cloud est réellement séduisante, mais la route est encore longue vers la visibilité.

The post La visibilité est une condition préalable de la sécurité appeared first on Varonis Français.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

présentation-de-l’automatisation-du-modèle-de-moindre-privilège-pour-microsoft 365,-google-drive-et-box
Présentation de l’automatisation du modèle de moindre privilège pour Microsoft 365, Google Drive et Box
Varonis a le plaisir d’annoncer l’arrivée d’une nouvelle fonctionnalité : l’automatisation du modèle de moindre privilège pour Microsoft 365, Google Drive et Box.
la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-21-juin
La semaine dernière, dans l’actualité du ransomware : semaine du 21 juin
Actualité du ransomware En lançant son ransomware contre une infrastructure américaine, le groupe Darkside s’est attiré les foudres de la justice américaine, qui a fini par le démanteler en mai....
la-semaine-dernière,-dans-l’actualité-du-ransomware-:-semaine-du-28-juin
La semaine dernière, dans l’actualité du ransomware : semaine du 28 juin
Actualité du ransomware Vous êtes une PME et vous utilisez des lecteurs de stockage dans le cloud hébergés localement d’une marque bien connue ? Déconnectez-les sans attendre du réseau ! Des hackers ont...
8-conseils-pour-survivre-à-l’apocalypse-de-la-sécurité-des-données
8 conseils pour survivre à l’apocalypse de la sécurité des données
En ce moment, travailler dans le domaine de la sécurité c’est un peu comme survivre à une apocalypse provoquée par une invasion de zombies – des hordes de robots et...