Votre mission : protéger vos données. En êtes-vous capable ?
Pour les entreprises, le 21ème siècle est bien celui des données, qu’il faut absolument protéger. C’est tout le cycle de la vie des données dans l’entreprise qu’il faut examiner : depuis leur création jusqu’à leur destruction en fin de vie.
Les vecteurs d’attaque ont beaucoup évolué ces deux
dernières années : des virus, chevaux de Troie et autres programmes
trompeurs adressés aux salariés des entreprises les incitent désormais à
installer sans le savoir des logiciels malveillants du côté sûr du pare-feu.
Une fois activés, ceux-ci permettent au pirate informatique de s’emparer
d’infos confidentielles qu’il n’a plus qu’à monnayer.
Il n’est pas simple de combler les failles, d’identifier
les priorités, ni même de savoir par où commencer. Souvent, les rares
ressources disponibles vont intervenir ponctuellement sur telle vulnérabilité
identifiée, finalement pas si prioritaire, alors que les données les plus
sensibles restent exposées aux attaques.
Face à ce constat, les autorités
réglementaires réagissent et contrôlent de plus en plus la sécurité des données
archivées ou dormantes.
Voici 5 recommandations pour mieux protéger vos
données :
1. Identifier les
données à protéger en priorité pour mieux utiliser les ressources : chaque fois qu’une entreprise perd des données, elle risque
de perdre de l’argent ou de se retrouver dans une situation embarrassante. En
centrant leur approche des vulnérabilités sur les données, les entreprises
peuvent limiter l’impact des incidents de sécurité, se mettre en conformité
avec la législation applicable et mieux maîtriser le coût total de leurs
dépenses de sécurité. Elles sont en position d’affecter les ressources
disponibles aux vulnérabilités jugées prioritaires pour l’entreprise et sa
réputation, celles qui risquent d’exposer les données les plus critiques. Ces
données critiques sont l’ensemble des éléments que les politiques et normes de
sécurité de l’information placent en tête de liste, y compris les listes de
clients, les business plans, les secrets industriels, etc.
2. Centrer
l’évaluation des vulnérabilités sur les données : face à de trop nombreuses vulnérabilités « critiques »,
quand les informations manquent pour évaluer l’impact potentiel de chacune,
difficile de décider lesquelles traiter en priorité. Une démarche d’évaluation
centrée sur les données permet justement de caractériser les vulnérabilités,
classées en fonction de l’importance potentielle de leur impact. L’entreprise
sait ainsi sur quoi se concentrer en priorité.
3. Toujours savoir
où sont les données et où elles vont : le rapport Data Breach Investigations Report de Verizon
révèle l’existence d’un lien fort entre les agressions dont un utilisateur est
victime et sa méconnaissance de son environnement informatique, des données en
sa possession et des mesures de protection effectivement en place. Savoir où
sont et vont les données permettrait de limiter en partie ce type de
compromissions. Le mieux serait donc d’élaborer un programme d’évaluation de la
sécurité aussi bien « descendant » qu’ « ascendant »,
de sorte que l’évaluation de la stratégie et des objectifs de sécurité des
données et l’analyse des mesures de protection appliquées se nourrissent
mutuellement.
4. Prendre en
compte tous les points d’accès aux données : l’évaluation des menaces et des vulnérabilités doit
absolument porter sur tous les formats des données et tous les points d’accès à
ces données dans le contexte spécifique de l’entreprise. Elle tient alors
compte des trois dimensions suivantes : a) la dimension d’usage, qui
conditionne le cycle de vie d’une donnée, b) la dimension technique, soit les
utilisations qui en sont faites (et les chemins parcourus) pour répondre aux
besoins de l’entreprise et c) la dimension physique, autrement dit la
matérialisation des données, hors du réseau interne, quand elles sont imprimées,
enregistrées sur supports mobiles, etc.
5. Élaborer un
programme de sécurité couvrant toutes les dimensions : avec une évaluation classique de la sécurité, on risque
de n’identifier qu’une partie des mesures de sécurité effectivement appliquées
ou, à l’inverse, de passer à côté d’une faille. Pour être efficace, un
programme de sécurité doit prévoir l’application de règles et normes de
protection des données. Cela peut passer par exemple par une procédure de
classification des données, qui établirait d’une part les responsabilités des
auteurs et de tous ceux qui y accèdent au sein de l’entreprise, aidés par les
normes de sécurité applicables au stockage, à la consultation, la manipulation
et au transport de ces données, et d’autre part les règles et normes de
présentation, préservation et destruction des données.
Les directions informatiques et les responsables de la
sécurité doivent être en mesure de prendre les décisions qui aident
l’entreprise à poursuivre ses objectifs stratégiques. C’est ce que propose
l’approche de la gestion des vulnérabilités centrée sur les données :
prendre des décisions dans l’intérêt de l’entreprise. Cette approche globale
aide les entreprises à se protéger des attaques et préserver leur réputation, à
réussir les audits de sécurité de l’information et à mieux maîtriser le coût de
leur stratégie globale de sécurité