de Rob Sobers
Hier soir, j’ai regardé un excellent numéro de l’émission This Week in Startups qui avait pour invité Aaron Levie de Box.net. Aaron est un jeune directeur général remarquable qui semble réellement comprendre et se préoccuper des logiciels d’entreprise, deux qualités qui se retrouvent rarement chez un même homme.
Un des thèmes de l’entretien était la façon dont les directeurs informatiques et les départements informatiques des grandes organisations commencent à adopter le cloud, par le bas et par le haut simultanément.
L’invité a également remarqué que les entreprises Fortune 500 commencent à développer ou à acquérir des solutions de cloud pour les inclure dans leur portefeuille (par exemple, Oracle achète RightNow, SAP achète SucessFactors). Le cloud, le cloud et encore le cloud.
Puis, après environ 20 minutes d’entretien, le sujet clé ignoré jusqu’ici est enfin évoqué : et la sécurité ?
Même les entreprises les plus progressistes, remarque Aaron, ont la philosophie suivante : utilisez tous les appareils que vous voulez (Mac, PC, iPhone), utilisez tous les logiciels que vous voulez, mais sécurisez les données à tout prix.
Il serait stupide de ne pas le faire. Il n’est pas question ici de fichiers MP3 ou de photos de chatons. Il est question de propriété intellectuelle, de code source, de brevets, de documents juridiques et des ressources humaines, etc.
À mesure que la définition de « sûr » évolue, chaque département informatique est confronté à des décisions difficiles.
Nous devons disposer d’un modèle de sécurité adapté au modèle de travail décentralisé d’aujourd’hui. Comment trouver le bon équilibre entre sécurité et efficacité ? Entre disponibilité et verrouillage ?
Levie poursuit :
Nous devons redéfinir la sécurité et ce que cela signifie de gérer la sécurité. On pénètre alors dans cette catégorie où la visibilité est la sécurité. Si je dispose d’une plus grande visibilité sur les emplacements où se trouvent mes données, qui les utilise, tous les accès, tous les événements qui les concerne, alors, malgré la plus grande ouverture, les gens utiliseront le produit et je verrai réellement ce qui arrive aux données.
La visibilité, en elle-même, n’est pas la sécurité. Si je place les données financières et la propriété intellectuelle de mon entreprise dans le cloud et que j’ai une visibilité complète sur qui accède aux données, tout ce que cela garantit est que je pourrais voir les gens voler ces informations. Imaginez une banque qui installerait des caméras de sécurité et déclarerait qu’elle est sécurisée. En supposant que les bandes de sécurité et les pistes d’audit sont effectivement utilisées pour détecter et répondre aux activités non désirables, les responsables d’audit appellent de telles mesures des « contrôles de détection ».
Pour être plus précis, la visibilité est une condition préalable de la sécurité. Les contrôles de détection sont une pièce essentielle du puzzle : ils vous permettent de configurer efficacement des « contrôles de prévention » et de vérifier que ceux-ci ont le fonctionnement souhaité. La combinaison de contrôles de détection et de prévention vous aide à éviter des catastrophes et à détecter ce que vous n’avez pas su complètement éviter.
Les organisations réellement sécurisées établissent des règles, des procédures et des contrôles fondées sur la visibilité, qui comprennent les examens de droits d’accès, la prévention des pertes de données, la classification des données, l’effacement responsable, l’eDiscovery, la récupération après sinistre, et de nombreux autres éléments. Il a fallu des années pour que ces systèmes de prévention et de détection atteignent la maturité.
Un niveau similaire de maturité devra être atteint dans le cas du cloud.
Si vous vous préparez à déplacer vos données d’entreprise dans le cloud, prenez en considération les questions suivantes :
- Même si un fournisseur de cloud donné vous donne une visibilité complète sur l’accessibilité et l’utilisation, comment l’intégrez-vous dans votre infrastructure existante ? Et les autres données de cloud ?
- La visibilité sur le contrôle d’accès et l’utilisation n’est pas le seul type de contrôle dont vous avez besoin. L’inspection de contenu, la continuité opérationnelle et la reprise après sinistre, les politiques de conservation des données, les processus d’autorisation : tous ces éléments doivent être gérés.
- Le département informatique sait combien il est difficile de normaliser ces contrôles sur une infrastructure qui est en place depuis des années et qui est complètement maîtrisée ; or les fournisseurs de cloud cherchent encore comment résoudre ces problèmes, leurs capacités de contrôle varient fortement, et les interfaces des différentes fournisseurs peuvent varier également.
- Les organisations doivent définir un niveau minimal de contrôle pour chaque plateforme, sur cloud ou sur site. Visibilité de contrôle d’accès et exécution automatisable des changements, audit complet intégrable avec d’autres technologies, inspection des contenus, archivage automatique, etc.
Répondre à ces préoccupations de gestion des données par vous-même est déjà difficile ; convaincre Google, Amazon et Box de respecter vos règles alors que ces sociétés ont leurs propres objectifs, et bien sûr des milliers d’autres clients à satisfaire, c’est encore autre chose.
La promesse du cloud est réellement séduisante, mais la route est encore longue vers la visibilité.
The post La visibilité est une condition préalable de la sécurité appeared first on Varonis Français.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
-1.png)
