Protéger les données de votre entreprise contre les hackers tout en respectant les lois relatives aux données est une tâche ardue pour tout directeur de la sécurité des informations. Vous avez peut-être l’impression qu’on vous demande d’être au four et au moulin.
Nous sommes là pour vous aider !
Au cours des six derniers mois, de nombreuses grandes entreprises ont été victimes de fuites de données très médiatisées.
Toutes les entreprises sont confrontées au même problème : l’approche traditionnelle de la sécurité de l’information est erronée et obsolète.
Souvent, les DSI consacrent tout leur temps aux terminaux, périmètres et pare-feux, et relèguent au second plan la sécurité des données.
Jusqu’à ce qu’ils soient victimes d’une cyberattaque.
Si les mesures de sécurité traditionnelles vous permettent de rester en conformité et de rassurer la direction, en réalité, elles masquent les problèmes jusqu’à ce qu’un incident se produise, ou jusqu’à ce que des réglementations sur la sécurité des données, telles que le CCPA et le RGPD, vous obligent à changer de cap.
Obtenez une évaluation gratuite des risques liés aux données
À ce stade, réorganiser la sécurité de vos données peut sembler une tâche colossale. Il est difficile de savoir par où commencer.
Dans cet article, nous répondons aux questions suivantes :
- Pourquoi les DSI relèguent-ils la sécurité des données au second plan ?
- Pourquoi l’approche traditionnelle de la cybersécurité est-elle insuffisante et risquée ?
- Comment fonctionne la feuille de route de Varonis sur la sécurité des données utilisée pour aider plus de 7 000 DSI et comment pouvez-vous la mettre en œuvre au sein de votre entreprise ?
À la fin de cet article, vous disposerez d’un plan d’action pour protéger vos données, à l’aide d’une feuille de route que nous avons affinée au cours de nos quinze années d’expérience dans le secteur de la cybersécurité.
Les temps changent
Lorsqu’elles définissent leur stratégie de cybersécurité, la plupart des entreprises ont tendance à suivre une stratégie identique. Cet article aborde le modèle de cybersécurité « outside-in », se penche sur les dispositifs externes et vous explique comment protéger vos données.
Cela inclut des éléments tels que la protection des terminaux, le SIEM, la prévention des pertes de données et les pare-feux.
Cette approche a été efficace pendant un certain temps. Lorsqu’une équipe stockait tous ses fichiers et données sur ses propres machines, sur des serveurs gérés localement ou dans des centres d’hébergement de données sur site.
Mais la façon dont les entreprises créent, stockent et accèdent aux données a considérablement évolué ces dernières années.
De nos jours, vos données sont stockées dans différents emplacements, dans le cloud et dans des applications SaaS. Tous hébergent et traitent différentes versions de vos données.
C’est pourquoi cette stratégie très répandue n’est tout simplement plus un moyen efficace de sécuriser vos données.
En tant que DSI, vous ne pouvez pas protéger vos données si vous ne savez même pas que Gary, de la comptabilité, a inscrit l’équipe à une autre application SaaS non prévue.
Vos données sont vulnérables, et l’approche traditionnelle ne peut rien faire pour résoudre ce problème.
Plus qu’un simple problème technique
Mais ce n’est pas (entièrement) la faute de Gary.
Votre entreprise est composée d’êtres humains avec leurs priorités, leurs responsabilités et leurs défauts. Ils prennent des décisions selon leur méthode de travail et les objectifs qu’ils se sont fixés.
C’est pourquoi la sécurité des données ne doit pas être considérée comme un simple problème technologique.
La plupart du temps, lorsque nous parlons de cybersécurité, nous nous concentrons sur les applications, les bases de données et les API. C’est un aspect essentiel, mais il ne permet pas d’appréhender la situation dans son ensemble. Vos collaborateurs jouent également un rôle clé. Bien souvent, ils représentent un risque plus grand que les technologies.
Les politiques de sécurité internes en sont un bon exemple.
Toutes les entreprises savent qu’elles doivent mettre en place des politiques de sécurité. En effet, la plupart d’entre elles en ont besoin pour se conformer aux normes et aux réglementations. Mais l’objectif se déplace rapidement vers la création de documents, et non la mise en œuvre de politiques efficaces.
Et, comme le savent tous les DSI, ce n’est pas parce que vous demandez à quelqu’un de signer un document qu’il respectera les conditions énoncées.
Autre problème auquel vous serez confronté : votre entreprise génère quotidiennement des volumes substantiels de données. Par conséquent, tenter de surveiller les données que vos collaborateurs créent, stockent ou auxquelles ils accèdent est inutile.
Par exemple, si vous avez un fichier contenant des données sensibles, comment savoir qui peut accéder à ce document ? Le premier jour, peut-être qu’une seule personne y accèdera. Dans ce cas, vous serez en conformité avec vos politiques et réglementations.
Mais imaginons que cette personne partage ensuite ce document avec un collègue d’une autre équipe. Ce dernier le partage ensuite à un plus grand nombre de personnes, sans savoir qu’il contient des données sensibles. Enfin, un membre de ce groupe utilise du contenu pour une présentation commerciale. Soudain, vous n’êtes plus en conformité et vous vous exposez à des risques.
Cet exemple peut sembler exagéré, mais ce n’est pas le cas. Ces situations sont si fréquentes qu’il peut sembler impossible de les éviter.
La première étape pour résoudre ce problème est de comprendre qu’il n’y a pas de solution unique (même si nous aimerions que ce soit le cas !). En réalité, votre entreprise continuera à créer de nouvelles données, à ajouter de nouveaux collaborateurs et, malheureusement, à en retirer.
Au lieu de vous en tenir à l’ancienne stratégie et d’espérer que les choses s’arrangent, vous devez changer de tactique et adopter une approche axée sur les données.
Qu’est-ce que cela signifie ? Vous devez identifier les données qui présentent déjà des risques, les protéger et adopter des cadres et des outils pour sécuriser automatiquement vos données.
Feuille de route de Varonis pour la sécurité des données
Dans la dernière section, nous avons abordé le cœur du problème : personne ne s’attend à ce que les playbooks de cybersécurité traditionnels soient efficaces à l’ère de l’informatique dématérialisée.
C’est pourquoi nous avons élaboré une feuille de route qui a aidé les plus grandes entreprises mondiales, telles que Coca-Cola, ING et Toyota, à renforcer la sécurité de leurs données. Nous les avons également aidés à maintenir une solide posture de sécurité des données (DSPM) à long terme.
Nous avons développé cette feuille de route sur une période de quinze ans. Notre principal objectif était de protéger les données des entreprises et d’assurer la conformité avec toutes les réglementations majeures telles que le RGPD, l’HIPAA et la loi SOX.
Visibilité en temps réel
Avant d’entamer la procédure, nous devons avoir une idée claire du volume des données à risque. Pour ce faire, nous évaluons automatiquement toutes vos données et compilons les résultats dans un rapport.
Nous avons déjà évoqué à quel point il est difficile de savoir par où commencer. Or, cette première étape permet d’identifier les données à risque à votre place.
Nous analysons l’emplacement de vos données, leur environnement et leur configuration.
Nous examinons également l’accès effectif et les autorisations accordées dans vos différents espaces de stockage dans le cloud, vos applications SaaS, etc. Nous déterminons qui accède aux données et leur nature, comment elles sont utilisées et analysons les tendances comportementales.
Grâce à ces informations, nous pouvons commencer à identifier et hiérarchiser les risques et problèmes. Ce processus est essentiel, car les problèmes peuvent varier du tout au tout en termes de gravité et d’impact.
Par exemple, lorsque nous avons constaté qu’une équipe marketing avait enregistré les mots de passe des réseaux sociaux de leur entreprise dans OneDrive, partagé un lien public vers le fichier et fait en sorte qu’il soit indexé par Google.
Autre exemple : lorsqu’un consultant avait encore accès au fichier des primes versées par l’entreprise et y accédait tous les jours, alors qu’il avait été licencié six mois plus tôt.
Vous pouvez consulter notre exemple de rapport d’évaluation des risques liés aux données ici pour avoir une meilleure idée de ce qu’il contient.
Si l’accès est limité à un petit nombre de collaborateurs en interne, il est moins probable que cela pose problème. En revanche, si les données sont partagées à des personnes extérieures, le risque est beaucoup plus élevé.
L’objectif est d’obtenir une vue d’ensemble et d’identifier les risques dès le départ. Chez Varonis, nous appelons ce processus « valeur du jour 1 », car vous commencez à protéger vos données dès le début.
En effet, il arrive que des clients installent Varonis et reçoivent le jour même un appel de notre équipe de réponse aux incidents les informant que nous venons de contrer une tentative de ransomware.
Apprendre et paramétrer
Une fois l’étape d’activation terminée, la plupart des outils de cybersécurité vous abandonnent à votre sort. Mais cela ne vous aide pas beaucoup. En fait, vous serez certainement encore plus perturbé, car vous tenterez d’interpréter les résultats et de les classer par ordre de priorité.
Ne vous inquiétez pas, nous ne vous abandonnerons pas.
L’IA de Varonis évalue les métadonnées extraites de vos environnements et crée un modèle qui nous permet d’analyser vos données en permanence. L’objectif est d’utiliser ces informations comportementales pour obtenir du contexte sur vos données, afin que vous et votre équipe preniez de meilleures décisions.
Pour ce faire, nous utilisons trois éléments clés :
- La sensibilité : où se trouvent les données sensibles et leur degré de sensibilité.
- Les autorisations : qui a accès à quelles données.
- L’activité : comment les utilisateurs ont-ils interagi avec les données.
Nous combinons ensuite ces modèles comportementaux avec notre outil de détection des menaces pour configurer des rapports et des alertes automatisés. Nous intégrons également des technologies de cybersécurité telles que SIEM, DLP et SOAR.
Une fois ce processus affiné et adapté à vos données, vous disposerez à la fois d’une liste de recommandations d’améliorations et de changements, mais aussi du contexte dont vous avez besoin pour prendre des décisions éclairées à l’étape suivante.
Remédier au problème
Les DSI ne doivent pas se contenter d’identifier les risques et les problèmes, ils doivent les résoudre. Auparavant, ce travail était externalisé.
Mais même si vous collaborez avec une horde de sous-traitants pour tenter de résoudre les problèmes que vous avez identifiés, quand ils auront terminé, la liste sera déjà obsolète. Sans parler des délais et des coûts conséquents.
Varonis corrige automatiquement les problèmes à votre place. Pour ce faire, nous appliquons les recommandations formulées lors de la phase précédente et réduisons les risques dans tous vos environnements.
Nous utilisons nos fonctions de gestion de la posture en matière de sécurité des données (DSPM). Elles suppriment les autorisations obsolètes et redondantes, renforcent votre active directory et créent automatiquement des politiques de protection et de conservation des données.
Objectif : réduire la surface d’exposition dans les plus brefs délais.
Par exemple, si un employé a récemment changé d’équipe, il a probablement encore le droit d’accéder aux systèmes et aux données de son ancien poste. Varonis ne se contente pas de mettre en évidence ce problème, mais le corrige automatiquement. Ainsi, votre collaborateur accède uniquement aux données dont il a besoin dans le cadre de son nouveau poste.
Notre remédiation automatique couvre quatre types de risques :
L’exposition des données
Il est difficile de connaître les activités de tous vos collaborateurs, et parfois, certains d’entre eux exposent involontairement des données sensibles à des tiers. Les données de votre entreprise risquent ainsi d’être dérobées, supprimées ou modifiées.
Par exemple, si un de vos collaborateurs a enregistré des identifiants de réseaux sociaux dans Microsoft 365 et les a partagés avec des liens « Tout le monde ». Cela signifie que toute personne qui dispose du lien peut accéder à vos données sensibles et se connecter à vos réseaux sociaux.
Erreurs de configuration
La configuration de vos applications SaaS et cloud joue un rôle majeur dans la sécurité de vos données. Détecter les erreurs de configuration et les corriger efficacement s’avère donc primordial.
Par exemple, si votre entreprise utilise Zoom, peut-être que le service a été mal configuré pour permettre aux participants d’enregistrer les appels localement. Cela pourrait vous mettre en danger si vous évoquez des données sensibles.
Risque lié à l’identité
Plus une entreprise se développe, plus les risques liés aux identités sont élevés. Ils sont notamment dus aux vulnérabilités des processus de gestion des identités et des accès.
Par exemple, si un employé quitte votre entreprise, mais que son accès n’est pas révoqué, vos données sensibles sont vulnérables.
Assurer votre réussite
La dernière phase de notre feuille de route est moins axée sur des mesures ambitieuses, mais vise davantage à maintenir la qualité, la cohérence et la conformité de vos données.
Si les étapes précédentes consistaient à se décharger, cette étape permet de garder le cap.
Plus votre entreprise se développera, plus vous adopterez de nouveaux outils et plateformes, et plus de nouvelles données seront générées et diffusées. Vous serez également confronté à de nouveaux risques et réglementations auxquels vous devez vous préparer.
Cette étape consiste à garder une longueur d’avance tout en maintenant vos environnements existants. Notre équipe travaille à vos côtés pour examiner régulièrement les risques actuels et émergents, la valeur métier et la maturité de la sécurité.
Nous vous aidons également à protéger vos outils, sans vous contraindre à procéder à des mises à jour inutiles.
En résumé, nous passons en revue les phases précédentes afin de maintenir la sécurité et la conformité de votre entreprise à mesure de l’évolution des menaces, des réglementations et de votre activité.
En conclusion
Compte tenu de la pression croissante des réglementations et du risque élevé de fuite des données, les DSI doivent considérer la sécurité des données comme un pilier central de leur feuille de route. Pour ce faire, ils doivent abandonner les stratégies de type « outside-in » et adopter une approche « data-first ».
Mais avec la prolifération de la création et du stockage de données dans tous les secteurs, cette tâche s’avère presque impossible sans un plan d’action et une plateforme adaptés.
En suivant la feuille de route de Varonis en matière de sécurité des données, que nous avons utilisée pour aider plus de 7 000 entreprises, vous améliorerez votre posture de sécurité.
Vous souhaitez en savoir plus sur l’exposition de vos données sensibles ? Obtenez une évaluation gratuite des risques sur vos données en demandant un essai Varonis.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.