Contrôles de la sécurité des données

Avr 15, 2023 | Sécuriser données entreprise

Les contrôles de sécurité des données, ou plus précisément les contrôles de cybersécurité centrés sur les données, reposent sur une approche de la sécurité qui met l’accent sur la sécurité des données elles-mêmes plutôt que sur la sécurité des appareils, des applications, des serveurs ou des réseaux.

La transformation numérique des organisations et l’augmentation du nombre d’entreprises qui font plus que jamais confiance aux données(organisations axées sur les données, McKinsey) pour mener leurs activités commerciales, font que la sécurité centrée sur les données prend plus d’ampleur que jamais. Les données des entreprises étant stockées à différents endroits (nuage, systèmes locaux, bases de données distribuées, etc.), le besoin de cadres et de stratégies de sécurité tels que Zero-Trust (promu par Forrester) ou SASE (promu par Gartner) est renforcé.

Dans cet article, nous allons parler des contrôles de sécurité centrés sur les données d’un point de vue principalement technologique, par opposition à un processus ou à une approche organisationnelle. En particulier :

Index

Risque accru pour les données de l’entreprise. Résumé.

 
Selon le rapport publié par Risk-Based Security 2020 Year End Report Data-Breach, le nombre d’enregistrements compromis par des fuites de données a augmenté de 141 % en 2020 par rapport à l’année précédente. L’augmentation des fuites dues à une attaque de ransomware a augmenté de 100 %, le secteur de la santé étant le plus attaqué avec 12,5 % des vols de données signalés, suivi de près, en troisième position, par le secteur des finances et de l’assurance.

On voit également apparaître des groupes organisés qui, après avoir perpétré des attaques et volé des données sur des organisations, rendent ces données publiques, comme dans le cas de « ShinyHunters » qui, au cours du dernier trimestre de 2020, a publié des données sensibles extraites de quelque 17 entreprises de différents secteurs.

Dans 62 % des fuites signalées, l’accès à des données sensibles a été confirmé. 77% des vols étaient dus à des attaques d’origine externe et 16% à des attaques d’origine interne. Parmi ces derniers, 69 % étaient dus à des erreurs et à des défaillances.

Selon le rapport Verizon « 2020 Data Breach Investigations Report« , les vols de données où l’attaque prend un plus grand nombre d’étapes pour atteindre son objectif, qui sont principalement causés par le piratage et les logiciels malveillants, compromettent pour la plupart la confidentialité et l’intégrité des données par rapport à la disponibilité. Les attaquants se frayent constamment un chemin à travers le réseau de l’entreprise pour atteindre leur cible, les données, et en compromettre la confidentialité.

Dans de nombreux cas, les attaquants passent inaperçus en tant qu’utilisateurs internes, de sorte que les mesures de contrôle du réseau ou du périmètre ne sont plus efficaces.
 

Éléments clés de la sécurité centrée sur les données

 
Il existe différents éléments clés pour un système de sécurité efficace centré sur les données :

  • Identification, découverte et classification des informations sensibles : La cible d’un attaquant, qu’il soit interne ou externe, est généralement l’information la plus sensible et la plus précieuse : les données grâce auxquelles il peut directement ou indirectement obtenir des avantages. D’autre part, il existe également des données liées à un certain type de réglementation, comme EU-GDPR, PCI, ou autres. Dans certaines organisations, ces données sont stockées dans des référentiels connus des équipes, mais elles peuvent également être distribuées et, dans ce cas, des outils permettant d’identifier où elles se trouvent peuvent être utiles pour une organisation qui souhaite mettre en œuvre des contrôles de sécurité centrés sur les données.
  • Protection centrée sur les données : Les contrôles de sécurité centrés sur les données se concentrent sur la sécurisation du contenu précieux de l’organisation afin qu’il puisse être protégé d’une éventuelle sortie non autorisée du réseau, de l’informatique en nuage ou d’une fuite de données. Nous pouvons savoir où se trouvent les informations sensibles de l’organisation, mais cela ne servira pas à grand-chose si nous n’appliquons pas de mesures pour protéger ces informations où qu’elles se trouvent.
  • Audit et surveillance de l’accès aux données : Pour déterminer le niveau de risque sur les données de l’entreprise, il est important de pouvoir analyser leur utilisation et de déterminer si les modèles de comportement des utilisateurs sur les données sont en dehors d’une certaine norme.
  • Administration et gestion des politiques en matière de données : La question de savoir qui doit ou ne doit pas avoir le droit d’accéder aux données n’est pas quelque chose qui est établi de manière statique et durable. Vous devez être en mesure d’appliquer des politiques dynamiques sur les données, de sorte que si vous cessez de collaborer avec quelqu’un ou si l’on détecte qu’une certaine personne peut être en danger, nous pouvons révoquer l’accès à ces données ou essayer de les empêcher de quitter le réseau de l’entreprise.

 

Les contrôles de sécurité des données tentent d’offrir aux organisations les avantages suivants

 

  • Atténuer ou prévenir les fuites de données résultant d’actions inappropriées de la part des employés, qu’elles soient accidentelles ou malveillantes : essayez de bloquer la sortie de données sensibles du réseau ou, selon la technologie utilisée, les informations sont protégées et seuls les utilisateurs qui ont des droits sur ces données pourront y accéder.
  • Faciliter la collaboration sécurisée en établissant différentes mesures d’accès ou de collaboration en fonction du niveau de sensibilité de l’information. Vous pouvez le partager avec des tiers ou non, ou laisser un contrôle d’accès limité selon qu’il s’agit d’un document hautement confidentiel ou non.

 
avantages de la protection des données contrôles de sécurité entreprises
 

  • Contribuer à la mise en conformité avec les réglementations en matière de protection des données : Les réglementations telles que l’EU-RGPD obligent les entreprises qui détiennent des données personnelles sur quelqu’un d’autre à les faire contrôler. En les chiffrant, en bloquant la sortie du réseau et en contrôlant leur utilisation, on tente de faciliter le respect de ce type de réglementation.
  • Protégez-vous contre les failles de sécurité du réseau qui peuvent conduire à l’exfiltration de données : La presse ne cesse de parler d’attaques de toutes sortes, comme les ransomwares, qui exfiltrent des documents, des courriels et des données internes des entreprises et leur extorquent la publication de ces données. Il existe de multiples voies d’entrée pour ces types de menaces dans le réseau de l’entreprise et, dans ce cas, ceux qui cryptent les données ajoutent un niveau de contrôle supplémentaire, qui protège les données contre une éventuelle violation du réseau.

Pour mettre en œuvre une stratégie de sécurité axée sur les données, nous trouvons sur le marché différentes technologies et contrôles de sécurité avec des objectifs différents. Certains des plus connus sont résumés ci-dessous.
 

Technologies dans le domaine de la sécurité des données

 

Technologies de cryptage

 
Les technologies de cryptage protègent les informations inactives et lorsqu’elles sont en transit. Cependant, une fois décrypté, l’utilisateur en a le contrôle total et le contrôle d’accès ne peut plus être garanti. Il existe différents types de technologies de cryptage, dont voici quelques exemples en termes de mise en œuvre dans les entreprises :

  • Cryptage de disque : Ils ont été intégrés par les fabricants de matériel ou même dans le système d’exploitation lui-même (Windows, fabricants de téléphones portables, etc.) où il est possible de crypter le disque. Il se limite à empêcher la perte de données si l’appareil a été perdu.
  • Cryptage du courrier électronique : Une couche de SMIME/TLS est intégrée au courrier électronique pour le transmettre avec un cryptage de bout en bout. Il offre une protection dans les transports.
  • Cryptage de fichiers : Il existe de nombreux outils basés sur la gestion de mots de passe ou de certificats tels que PGP (clé publique/privée). Ils offrent une protection lorsqu’ils sont à l’arrêt ou en transit, mais pas lorsqu’ils sont utilisés.

 

 

Technologies DLP (prévention de la perte de données)

 
Un système de protection des données de type DLP tente de bloquer la sortie d’informations confidentielles du réseau, envoyées par courrier électronique, copiées sur une clé USB, etc. Elles sont axées sur un modèle de sécurité périmétrique et ne s’intègrent pas bien dans le nouveau contexte commercial sans périmètre. Ils veillent à ce que les informations sensibles ne quittent pas le « château ».

L’adoption rapide par les entreprises du « cloud » et l’arrivée des plateformes mobiles (iOS, Android) a été un défi pour ce type de technologie, qui a eu du mal à s’adapter à la réalité. Cela a conduit à l’émergence de produits spécifiques pour contrôler la sécurité sur les appareils mobiles tels que les plateformes EMM (Enterprise Mobile Management) ou MDM (Mobile Device Management), les plateformes CASB (Cloud Access Security Brokers), et il y a eu une plus grande évolution des technologies E-DRM / IRM vers ce que l’on appelle IPC (Information Protection and Control) dans le but de sécuriser l’information dans n’importe quel endroit.

Selon Gartner, les systèmes de protection contre les intrusions sont divisés en deux catégories :

  • DLP d’entreprise : ils offrent une console centrale pour la gestion et la surveillance des politiques et contrôlent la sortie d’informations par le biais de différents scénarios tels que les terminaux, les postes d’utilisateurs ou le réseau. Ils font également de la recherche d’informations.
  • DLP intégré : il s’agit de solutions intégrées nativement à certains produits déjà répandus sur le marché. Le serveur de messagerie Microsoft Exchange, par exemple, a intégré ces dernières années des règles DLP pour détecter et bloquer la fuite d’informations par le biais du courrier électronique.

état des informations DLP

 

Ces technologies fonctionnent dans le domaine de la découverte des données, de la protection (en essayant de bloquer la sortie d’informations du réseau) et de la surveillance des informations lorsqu’elles se trouvent à l’intérieur du périmètre. Bien entendu, une fois que l’information a quitté le réseau, ils ne peuvent plus rien faire pour la protéger ou contrôler son utilisation, à moins qu’ils ne soient intégrés aux technologies IRM / E-DRM / IPC. D’autre part, pour éviter les faux positifs, ils sont souvent associés à des outils d’étiquetage ou de classification des informations.

 

Identification, découverte et classification des données

 
Ils permettent d’identifier et de cataloguer les données en fonction du niveau de confidentialité (confidentiel, interne, public, etc.). Ils permettent également de découvrir des données au sein de l’organisation qui peuvent être liées au respect d’une certaine réglementation telle que PCI, EU-GDPR, les réglementations dans le domaine du secteur de la santé, etc.

On peut les classer en deux catégories :

  • Découverte, identification et classification automatiques : Ils localisent les informations sensibles sur le réseau et les classent automatiquement en fonction de différents modèles, sans intervention de l’utilisateur. Grâce à l’analyse de certains référentiels, et sur la base de dictionnaires liés à des réglementations spécifiques, ils permettent de discriminer et de classer les données.
  • Classification manuelle effectuée par l’utilisateur: C’est l’utilisateur qui étiquette les documents en fonction du niveau de confidentialité (par exemple, public, confidentiel, etc.). Dans ce cas, il n’y a pas vraiment d’identification, mais simplement un étiquetage ou une classification qui, lorsqu’elle est effectuée par l’utilisateur et non par un système automatique, peut permettre d’éviter les faux positifs.

Groupes d'information classifiés
 

Ce sont des outils qui permettent de cataloguer les informations présentes sur le réseau de l’entreprise, mais ils ne permettent pas à eux seuls de protéger les informations ou d’en contrôler l’utilisation. En fait, en ce qui concerne la protection, ils restent un complément à une technologie DLP ou IRM / E-DRM / IPC, puisqu’ils ne protègent pas l’information et ne font que la classer.
 

Technologies CASB (Cloud Access Security Brokers)

 
Gartner définit le marché des CASB (Cloud Access Security Brokers) comme des produits et des services qui comblent les lacunes en matière de sécurité dans l’utilisation des services en nuage par une organisation. Cette technologie résulte de la nécessité de protéger les services en nuage qui sont adoptés à un rythme très élevé et auxquels les utilisateurs ont accès à l’intérieur et à l’extérieur du périmètre traditionnel de l’entreprise, en plus d’un accès direct de plus en plus important d’un nuage à l’autre.

Les fournisseurs de CASB comprennent que pour les services en nuage, l’objectif de protection de l’organisation est le suivant : il s’agit toujours de vos données, mais elles sont traitées et stockées dans des systèmes qui appartiennent à quelqu’un d’autre. Les CASB offrent un emplacement central pour les politiques et la gouvernance simultanément sur plusieurs services en nuage pour les utilisateurs et les appareils, ainsi qu’une visibilité et un contrôle granulaires sur les activités des utilisateurs et les données sensibles.

Un CASB a quatre fonctions visant à protéger les données de l’entreprise :

  • Visibilité – Fournit des informations sur les services en nuage utilisés.
  • Conformité – Veiller à ce que les données dans le nuage répondent aux exigences de conservation et de conformité.
  • Sécurité des données – Contrôle d’accès et gestion des privilèges, mais pendant que les données sont dans le nuage.
  • Protection contre les menaces – Identifier les personnes et les comptes compromis

Le CASB se situe entre les utilisateurs et le nuage, vérifiant et contrôlant qui accède, s’il a des privilèges d’accès, etc. Il empêche les téléchargements en fonction des politiques de sécurité de l’entreprise ou les alertes de menaces éventuelles dues à l’existence de « liens publics » vers les informations stockées dans le nuage…

DLP CASB protection de l'information

L’approche du CASB consiste à contrôler l’accès aux informations dans le nuage et l’identité de ceux qui y accèdent, mais elle présente certaines limites :

  • Si l’ensemble du trafic d’une entreprise est intercepté et se fait passer pour le CASB, les importants investissements réalisés par les fournisseurs de services en nuage en matière de disponibilité et de répartition géographique ne sont pas exploités, ce qui fait apparaître des points de défaillance dans l’architecture étant donné que les ressources des fournisseurs de CASB sont inférieures à celles des plates-formes en nuage.
  • Il n’y a de contrôle que lorsque les informations sont dans le nuage, mais pas une fois qu’elles ont été téléchargées et qu’elles sont hors du nuage.
  • La remédiation est basée sur le blocage des téléchargements uniquement ou sur le contrôle des autorisations et le cryptage des données d’information lorsqu’elles sont stockées. Une fois que la documentation quitte le nuage, il n’y a plus rien à faire pour la protéger, la contrôler ou en bloquer l’accès.

 

Gestion des droits de l’information (IRM) / Gestion des droits numériques de l’entreprise (E-DRM) / Protection et contrôle de l’information (IPC)

 
Protection et contrôle de l’information de l’entreprise (IPC)
La possibilité de contrôler l’information même en dehors du nuage est à la portée des technologies IPC (protection et contrôle de l’information), ou IRM / E-DRM (gestion des droits de l’information / gestion des droits numériques de l’entreprise) qui vous permettent de protéger l’information où que vous voyagiez :

  • La protection accompagne la documentation où qu’elle se trouve.
  • Vous pouvez limiter les droits d’accès à la documentation (uniquement visualiser, modifier, imprimer, etc.).
  • Il est possible de contrôler l’accès à la documentation, de savoir où l’on se trouve.
  • Il est possible de contrôler l’accès à la documentation, où que vous soyez.
  • L’accès aux fichiers peut être révoqué, quel que soit l’endroit où ils se trouvent.

Dans le cas d’une approche de la sécurité centrée sur les données, la protection doit être pilotée par l’utilisateur ou gérée par l’administrateur pour protéger des dossiers spécifiques.

Si nous parlons d’un environnement en nuage, les dossiers ou les dépôts de documentation sont cryptés dans des systèmes tels que O365, Box, etc. de sorte que tout ce qui est stocké dans ces dossiers est automatiquement protégé.

DLP vs IRM : comment protéger les informations sensibles ?
 
Ces technologies peuvent être intégrées à des outils de classification, protégeant automatiquement les données classifiées en fonction du niveau de confidentialité, DLP ou CASB, afin que les informations qui circulent à l’intérieur ou à l’extérieur du réseau de l’entreprise, ou du nuage, soient toujours protégées et sous contrôle.
 

Quels sont les contrôles de sécurité des données qui peuvent le mieux m’aider à atteindre mes objectifs de protection ?

 
Nous devons examiner au sein de l’organisation quelle est la priorité lors de la mise en œuvre d’une stratégie de sécurité axée sur les données :

  • Est-ce que je veux commencer à protéger les informations que je stocke dans certains référentiels et ordinateurs sans entamer un processus de classification ou d’identification ?
  • J’ai protégé certaines données critiques, mais je souhaite savoir où se trouvent d’autres données susceptibles de fuir facilement.
  • La plupart de mes données se trouvent-elles à l’intérieur du périmètre et dois-je à tout prix en bloquer la sortie ?
  • J’ai effectué une transition rapide vers l’informatique dématérialisée et je souhaite disposer de contrôles de sécurité supplémentaires par rapport à ceux offerts par les plates-formes d’informatique dématérialisée elles-mêmes ?
  • Le périmètre de mon organisation est plus flou que jamais, avec des données sur le réseau et hors réseau, et je veux contrôler les données où qu’elles se trouvent ?

Les réponses à ces questions nous amèneront à donner la priorité à une certaine technologie et à une certaine solution et à opter pour celle-ci.

Contactez notre équipe pour recevoir des conseils complets et adaptés à votre organisation.