Protection des données : 10 bonnes pratiques pour concilier sécurité et productivité

Protection des données : 10 bonnes pratiques pour concilier sécurité et productivité


Constituant désormais l’élément vital des entreprises, les données représentent toutefois un défi de taille : comment permettre aux utilisateurs d’échanger librement des données tout en évitant qu’elles ne tombent entre de mauvaises mains ? A l’heure où le partage de données fait partie intégrante du monde professionnel, jamais la tension entre sécurité et productivité n’a été aussi forte. Ainsi, une récente analyse menée par nos experts révèle que les entreprises sont chaque jour confrontées à une moyenne de 10 000 violations de données.

Une perte de données peut impliquer qu’un collaborateur a envoyé un fichier sensible par e-mail, l’a transféré vers un emplacement dangereux dans le cloud, l’a copié sur un disque externe ou l’a publié via un outil collaboratif. Elle peut également se produire lorsqu’un acteur de la menace exfiltre des données à des fins malveillantes comme lors d’attaques de ransomware à extorsion multiple. Quelle que soit la cause, chacun de ces événements peut potentiellement conduire à une violation de données, c’est-à-dire au vol ou à l’accès à des données essentielles de l’entreprise. Or les organisations victimes d’attaques sont de plus en plus touchées, et les coûts associés augmentent chaque année.

Les responsables de la sécurité sont bien conscients qu’ils doivent mettre en place des contrôles plus efficaces concernant le lieu où sont stockées les données, la manière dont elles sont partagées et les personnes qui sont autorisées à y accéder.

Toutefois, c’est plus facile à dire qu’à faire.

Un contrôle trop restrictif risque de nuire à la productivité des utilisateurs, à la collaboration et, en fin de compte, à la créativité et à l’innovation. Or, lorsque la sécurité devient un obstacle à la productivité. Les utilisateurs ont tendance à trouver un moyen de la contourner, en prenant souvent des mesures encore plus risquées.

Comment les entreprises peuvent-elles alors trouver le bon équilibre ?

Voici 10 conseils pour les entreprises cherchant à renforcer la sécurité et l’hygiène de leurs données sans nuire à la productivité des utilisateurs.

  • Connaître ses données : avant de pouvoir protéger leurs données, les entreprises ont d’abord besoin de connaître et de comprendre quelles sont ces données et quel est leur rôle. Durant cette phase initiale, il est important de déterminer et de comprendre quelles données sensibles doivent être protégées et d’attribuer une priorité à chaque type et source différente en fonction de la valeur commerciale et du risque de perte potentielle. Avant d’établir une politique de protection des données, il est également nécessaire de déterminer des bases de comportement et commencer par classer et étiqueter les données sensibles : celles contenant des informations financières, celles liées à la propriété intellectuelle, ainsi que celles permettant d’identifier une personne.
  • Comprendre les canaux de perte de données : il faut ensuite définir quels sont les canaux importants à contrôler, tels que la messagerie, les applications cloud personnelles, le web, les dispositifs de stockage physique, etc.
  • Définir le profil de risque : il est également important d’élaborer des politiques et d’instaurer des règles en fonction des risques, afin de trouver un équilibre entre contrôle et productivité. Aucune entreprise ne voudra freiner la productivité en verrouillant trop de données. C’est pourquoi il est important d’identifier les données, les applications et les canaux à protéger en priorité. Les entreprises peuvent commencer par mettre en place des contrôles limitant les activités les plus risquées. Ces conseils ne se limitent pas aux politiques DLP. La perte de données peut être atténuée en minimisant l’accès inutile aux données avec des stratégies Zero Trust telles que la réduction de la surface d’attaque externe, l’inspection du trafic internet, la mise en œuvre d’une micro-segmentation granulaire et le déploiement d’un contrôle d’accès basé sur l’identité respectant le principe du moindre privilège.
  • Investir dans une technologie DLP intégrée : il est conseillé de trouver la bonne plateforme unifiée pour appliquer les politiques et sécuriser toutes les sources de données sensibles – y compris les informations d’identité, les applications, les magasins de données d’entreprise et de clients, et l’IP – avec le moins de complexité et d’impact sur la productivité. En d’autres termes, une plateforme qui protège les données en mouvement sur tous les canaux clés avec une inspection TLS entièrement en ligne et qui analyse en permanence l’environnement pour découvrir et corriger les risques, notamment les mauvaises configurations, les violations de conformité, les niveaux de permission et les droits d’accès. Une fonctionnalité qui doit s’étendre à la messagerie, aux applications telles que Microsoft 365, Salesforce et Google Workspace, ainsi qu’aux endpoints eux-mêmes.
  • Créer des flux de réponses : un bon point de départ consiste à définir les groupes de sécurité et les listes de distribution des équipes. Les flux de réponses doivent également être documentés et il est possible d’élaborer des playbooks détaillés s’appuyant sur l’automatisation en utilisant une solution d’orchestration, d’automatisation et de réponse de sécurité (SOAR), si elle est disponible.
  • Ne pas rester dans une bulle : la protection des données va au-delà de la technologie ; elle doit être ancrée dans la culture de l’entreprise. Des cadres supérieurs aux employés juniors, en passant par les prestataires et les associés, la DLP doit être consolidée dans le cadre d’un programme plus vaste de protection de la gestion des données soutenu par la direction. Pour ce faire, il faut recourir à des notifications destinées aux utilisateurs finaux et proposer des formations de sensibilisation à la sécurité en temps voulu afin d’éduquer les collaborateurs et les tiers avec lesquels l’entreprise travaille sur la protection des données. Plus grande sera leur compréhension des objectifs, des attentes et des bonnes pratiques, plus le programme de protection des données sera efficace.
  • Rendre des comptes à l’aide de métriques : afin d’assurer le suivi du programme de protection des données, il convient d’établir des mesures pertinentes permettant par ailleurs de pouvoir l’optimiser. Ces mesures peuvent être utilisées pour communiquer la valeur et les avancées à la direction de l’entreprise. De nombreuses organisations surveillent des paramètres tels que les incidents informatiques, les violations de données et les heures d’enquête. Il est important de s’engager à surveiller et à améliorer continuellement les paramètres.
  • Anticiper les attaques de la supply chain : en étant conscient que n’importe lequel de leurs fournisseurs peut lui-même être victime d’une brèche et ainsi les exposer, les dirigeants d’entreprise sont à même d’atténuer l’impact d’une attaque de la chaîne d’approvisionnement d’un tiers sur leur propre organisation. C’est pour cette raison qu’il est important de réaliser des évaluations régulières sur la sécurité des données de ses fournisseurs et d’inclure des exigences dans leurs contrats. La question des dépendances critiques des fournisseurs doit être abordée dans les plans de continuité d’activités et de réponse à incidents, et il faut appliquer des politiques et des contrôles d’accès Zero Trust à l’ensemble des utilisateurs tiers.
  • Mettre en œuvre une architecture Zero Trust : il convient d’envisager la transformation de l’infrastructure réseau en étoile en passant à une plateforme de service d’accès sécurisé en périphérie (SASE) qui stoppe la perte de données, élimine la surface d’attaque et empêche les mouvements latéraux en appliquant le principe Zero Trust.
  • Revoir régulièrement la stratégie DLP : les politiques DLP doivent être mises à jour en permanence. Cela passe notamment par un examen annuel du programme DLP (politiques, pratiques et produits) afin d’identifier les lacunes et déployer les mises à jour majeures indispensables pour suivre l’évolution des besoins de l’entreprise.

Les attaquants ne cessent de perfectionner leur jeu, et les menaces auxquelles les entreprises seront confrontées demain seront très certainement des versions améliorées de celles d’aujourd’hui. Elles auront un impact sur les exigences en matière de protection des données des entreprises. Parmi ces évolutions, nous devrions voir l’apparition de nouveaux « infostealers », tandis que les extorsions de données devraient continuer d’augmenter, y compris les ransomwares et les attaques de la supply chain.

La protection des données ne saurait être une démarche isolée ; elle doit faire partie d’une stratégie plus large dans laquelle les entreprises cherchent à déjouer les attaques à chaque étape. L’idéal est de bloquer purement et simplement les acteurs malveillants. La protection contre les pertes de données exige surtout un engagement partagé au sein de tout l’écosystème de l’entreprise – des collaborateurs aux partenaires – c’est là l’enjeu majeur pour atténuer les attaques et limiter l’accès et la capacité d’exfiltration.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.