Votre mission : protéger vos données. En êtes-vous capable ?

Pour les entreprises, le 21ème siècle est bien celui des données, qu’il faut absolument protéger. C’est tout le cycle de la vie des données dans l’entreprise qu’il faut examiner : depuis leur création jusqu’à leur destruction en fin de vie.

Les vecteurs d’attaque ont beaucoup évolué ces deux dernières années : des virus, chevaux de Troie et autres programmes trompeurs adressés aux salariés des entreprises les incitent désormais à installer sans le savoir des logiciels malveillants du côté sûr du pare-feu. Une fois activés, ceux-ci permettent au pirate informatique de s’emparer d’infos confidentielles qu’il n’a plus qu’à monnayer.
Il n’est pas simple de combler les failles, d’identifier les priorités, ni même de savoir par où commencer. Souvent, les rares ressources disponibles vont intervenir ponctuellement sur telle vulnérabilité identifiée, finalement pas si prioritaire, alors que les données les plus sensibles restent exposées aux attaques.
Face à ce constat, les autorités réglementaires réagissent et contrôlent de plus en plus la sécurité des données archivées ou dormantes.

Voici 5 recommandations pour mieux protéger vos données :
1. Identifier les données à protéger en priorité pour mieux utiliser les ressources : chaque fois qu’une entreprise perd des données, elle risque de perdre de l’argent ou de se retrouver dans une situation embarrassante. En centrant leur approche des vulnérabilités sur les données, les entreprises peuvent limiter l’impact des incidents de sécurité, se mettre en conformité avec la législation applicable et mieux maîtriser le coût total de leurs dépenses de sécurité. Elles sont en position d’affecter les ressources disponibles aux vulnérabilités jugées prioritaires pour l’entreprise et sa réputation, celles qui risquent d’exposer les données les plus critiques. Ces données critiques sont l’ensemble des éléments que les politiques et normes de sécurité de l’information placent en tête de liste, y compris les listes de clients, les business plans, les secrets industriels, etc.
2. Centrer l’évaluation des vulnérabilités sur les données : face à de trop nombreuses vulnérabilités « critiques », quand les informations manquent pour évaluer l’impact potentiel de chacune, difficile de décider lesquelles traiter en priorité. Une démarche d’évaluation centrée sur les données permet justement de caractériser les vulnérabilités, classées en fonction de l’importance potentielle de leur impact. L’entreprise sait ainsi sur quoi se concentrer en priorité.
3. Toujours savoir où sont les données et où elles vont : le rapport Data Breach Investigations Report de Verizon révèle l’existence d’un lien fort entre les agressions dont un utilisateur est victime et sa méconnaissance de son environnement informatique, des données en sa possession et des mesures de protection effectivement en place. Savoir où sont et vont les données permettrait de limiter en partie ce type de compromissions. Le mieux serait donc d’élaborer un programme d’évaluation de la sécurité aussi bien « descendant » qu’ « ascendant », de sorte que l’évaluation de la stratégie et des objectifs de sécurité des données et l’analyse des mesures de protection appliquées se nourrissent mutuellement.
4. Prendre en compte tous les points d’accès aux données : l’évaluation des menaces et des vulnérabilités doit absolument porter sur tous les formats des données et tous les points d’accès à ces données dans le contexte spécifique de l’entreprise. Elle tient alors compte des trois dimensions suivantes : a) la dimension d’usage, qui conditionne le cycle de vie d’une donnée, b) la dimension technique, soit les utilisations qui en sont faites (et les chemins parcourus) pour répondre aux besoins de l’entreprise et c) la dimension physique, autrement dit la matérialisation des données, hors du réseau interne, quand elles sont imprimées, enregistrées sur supports mobiles, etc.
5. Élaborer un programme de sécurité couvrant toutes les dimensions : avec une évaluation classique de la sécurité, on risque de n’identifier qu’une partie des mesures de sécurité effectivement appliquées ou, à l’inverse, de passer à côté d’une faille. Pour être efficace, un programme de sécurité doit prévoir l’application de règles et normes de protection des données. Cela peut passer par exemple par une procédure de classification des données, qui établirait d’une part les responsabilités des auteurs et de tous ceux qui y accèdent au sein de l’entreprise, aidés par les normes de sécurité applicables au stockage, à la consultation, la manipulation et au transport de ces données, et d’autre part les règles et normes de présentation, préservation et destruction des données.
Les directions informatiques et les responsables de la sécurité doivent être en mesure de prendre les décisions qui aident l’entreprise à poursuivre ses objectifs stratégiques. C’est ce que propose l’approche de la gestion des vulnérabilités centrée sur les données : prendre des décisions dans l’intérêt de l’entreprise. Cette approche globale aide les entreprises à se protéger des attaques et préserver leur réputation, à réussir les audits de sécurité de l’information et à mieux maîtriser le coût de leur stratégie globale de sécurité