Pourquoi de nombreuses organisations se concentrent sur la défense de leur périmètre mais négligent la protection des données ciblées à l'intérieur de ce périmètre ? La protection des données sensibles même en cas d'attaque du réseau ne constituerait-elle pas un progrès majeur ?
Plutôt que de revenir sur les statistiques et les témoignages sur des récentes affaires de violations de données dans divers secteurs, partons du principe que nous savons tous que les données sensibles (financières, cliniques ou personnellement identifiables comme les numéros de sécurité sociale, de passeport ou de permis de conduire) sont la cible principale des cybercriminels. Les exemples d'attaques atteignant leur but sont nombreux, et peu s'étonnent que la cause première est liée à des erreurs humaines et/ou à une sécurité défaillante.
Imaginer que telle ou telle entreprise donnée ne sera jamais victime d'une violation de données semble un peu trop optimiste. Alors les organisations peuvent certainement agir de manière à rendre la partie plus difficile pour les pirates, n'est-ce pas ?
À mon avis, les entreprises victimes qui ne chiffrent pas leurs données sont coupables. Lorsque la sécurité des données sensibles, qu'elles soient mobiles ou à l'état de stockage, n'est pas prise en compte, il est légitime de se demander si les responsables sont véritablement conscients des intentions des pirates. Quel plan de sécurité des données permet de garantir une protection intégrale des clients, fournisseurs et autres contacts ?
À ce stade, la plupart des entreprises disposent déjà d'un plan de cybersécurité, qui cible très probablement les vecteurs d'attaques possibles, protège l'infrastructure informatique contre les vulnérabilités et, dans certains cas, prévoit une formation de sensibilisation du personnel à la sécurité à intervalles quasi réguliers. Pour se tenir informées des dernières menaces, les équipes informatiques peuvent s'appuyer sur des solutions de renseignement sur les menaces collaboratives ou automatisées. Même si toutes ces activités sont nécessaires, elles ne sont pas insurmontables pour des pirates patients. Il est de plus en plus difficile de se protéger contre les menaces internes, qu'il s'agisse d'erreurs humaines permettant à des attaques d'hameçonnage d'aboutir, de l'exécution de ransomware ou de logiciels non autorisés installés par les utilisateurs qui donnent accès au réseau. Une fois que le pirate est présent sur le réseau, l'étape suivante est l'identification et le téléchargement de données sensibles.
Si les données ne sont pas sécurisées et que l'entreprise compte uniquement sur la protection de l'infrastructure, l'accès à ces données est un jeu d'enfant pour un pirate averti. Il est également intéressant de noter que souvent les pirates n'exploitent pas tout de suite les vulnérabilités détectées, préférant attendre le bon moment plutôt que de recenser les nombreux bugs qui perturbent l'environnement ou de laisser leurs découvertes identifiées ailleurs par des sociétés de services de sécurité scrupuleuses. C'est un jeu du chat et de la souris permanent auquel se livrent le secteur de la sécurité et les pirates informatiques. Il est certain que les experts de la sécurité proposent des solutions de plus en plus sophistiquées, mais les pirates répliquent en lançant des attaques encore plus complexes.
Dans la mesure où les probabilités d'infraction sont fortes, et que la question n'est plus de savoir si des attaques auront lieu mais quand, pourquoi ne pas aller plus loin en sécurisant les données ? C'est une décision logique, notamment quand on sait que la législation sur la protection des données et d'autres normes obligatoires (PCI-DSS et HIPAA, par exemple), doivent être respectées. Il ne s'agit pas d'une suggestion ; les contrevenants victimes de violations subissent des pertes financières qui se chiffrent souvent en millions, sans parler des atteintes à la réputation. C'est considérable, et il est donc préférable d'en parler.
Mon conseil : renforcer la protection des données. Comparons avec le braquage d'une banque : je mets quiconque au défi de citer une banque qui laisse ses coffres grand ouverts tout en postant du personnel de sécurité devant chaque porte d'entrée. Si un vigile quitte son poste ou se retrouve débordé, il n'y aura plus grand chose pour empêcher un braquage.
Certes, de nombreuses attaques ont réussi dans le secteur des services financiers mais, au moins en ce qui concerne la sécurité physique, le coffre-fort est sécurisé. Il en va de même pour la sécurité informatique : nous voulons que les pirates qui s'introduisent frauduleusement dans le réseau soient bloqués devant un coffre-fort, sans pouvoir accéder aux données sensibles qu'il contient.
Le concept est facile à comprendre.
Automatisez vos flux de travail sans devoir recourir à des scripts. Testez MOVEit Automation
Renforcer l'importance de la sécurité des données dans votre plan global de sécurité n'est pas si difficile. Il suffit de vous poser quelques questions précises, y compris mais sans s'y limiter, les questions suivantes :
Une fois que vous savez où sont stockées vos données, vous pouvez travailler sur leur protection. L'objectif est de centraliser la gestion des données, en mettant en place un système d'autorisations à attribuer au personnel pour y accéder en toute sécurité.
La réponse est oui pour la plupart des entreprises, même si ces données ne concernent que les collaborateurs. Si les pirates peuvent utiliser les données pour un vol d'identité ou obtenir un gain financier, vous pouvez estimer qu'elles sont sensibles.
Là encore, vu la tendance croissante au partage des données, il est très probable que vous partagiez des données entre les différents services et sites physiques ou avec les fournisseurs et partenaires agréés pour faire des affaires. Gardez à l'esprit que les contacts avec qui vous partagez des données doivent également se conformer aux réglementations sur la confidentialité des données. En tant que source, votre organisation est toujours tenue pour responsable en cas de violation des données.
Pour assurer la protection des données, c'est le minimum requis.
Selon le volume des transferts de fichiers et le niveau de sensibilisation à la sécurité du personnel, la réponse est certainement oui. Votre but est de réduire le nombre d'erreurs humaines potentielles en automatisant autant que possible les transferts de fichiers, que ce soit via la planification, l'optimisation des flux de travail ou la gestion des autorisations.
Envisagez ce défi comme une occasion d'optimiser les processus pour une efficacité maximale, en rationalisant les flux de travail et en garantissant l'utilisation de moyens agréés pour procéder aux transferts de fichiers, et non pas via VoIP, une clé USB ou toute autre méthode avec laquelle la journalisation est impossible. À ce stade, nous n'envisageons même pas encore les méthodes d'enquête électronique (e-discovery), mais cela vaut la peine d'être mentionné.
Critère essentiel pour nombreux : les transferts de fichiers standard ne permettent pas de suivre une piste d'audit, ne peuvent pas garantir votre conformité en cas de violation et ne chiffrent pas les données mobiles (avec accusés de réception, autorisations et horodatages).
Le choix d'une solution MFT ne peut que renforcer la sécurité des données et génère des gains de temps et d'argent, permettant au personnel de se consacrer au cœur de métier de l'entreprise. En fait, lorsque la sécurité des données fait partie intégrante du plan de cybersécurité global, les données sensibles sont gérées avec confiance et, plus important encore, le risque de perte de données est réduit.
En conclusion, les transferts de fichiers gérés ne peuvent que renforcer votre niveau de sécurité général, dans la mesure où des avantages tels que la gestion des autorisations, le chiffrement des données, l'optimisation des flux de travail et les pistes d'audit sont facilement accessibles. En cas de faille de sécurité du réseau, au moins vos données sensibles sont sécurisées alors que, parallèlement, l'équipe informatique s'efforce de lutter contre les intrus.
Qu'en pensez-vous ? Vaut-il mieux privilégier la protection de l'infrastructure ou les données importantes qu'elle héberge ? Idéalement, les deux… Et veillez à mettre en place un plan de reprise d'activité et un plan de continuité d'activité en cas d'incident imprévu. Vos clients et vos contacts vous remercieront
An Irishman based in Hong Kong, Michael O’Dwyer is a business & technology journalist, independent consultant and writer who specializes in writing for enterprise, small business and IT audiences. With 20+ years of experience in everything from IT and electronic component-level failure analysis to process improvement and supply chains (and an in-depth knowledge of Klingon,) Michael is a sought-after writer whose quality sources, deep research and quirky sense of humor ensures he’s welcome in high-profile publications such as The Street and Fortune 100 IT portals.
Laissez nos experts vous apprendre à utiliser les meilleures fonctionnalités de Sitefinity pour offrir des expériences numériques convaincantes.
Pour en savoir plusAbonnez-vous pour obtenir toutes les nouvelles, informations et didacticiels dont vous avez besoin pour créer de meilleures applications et sites professionnels