Des bases de données shadow et des autorisations mal configurées aux mots de passe non sécurisés et aux pipelines d’apprentissage de l’IA, le cloud présente de nombreuses voies d’attaque et d’exposition.
Sans surprise, plus de 80 % des fuites survenues en 2023 ont concerné des données dans le cloud.
La gestion de la posture de sécurité des données (DSPM) est devenue une norme en matière de protection des données sensibles dans le cloud et dans d’autres environnements afin de prévenir les fuites de données et de respecter les exigences en matière de conformité. Cependant, il règne une certaine confusion quant à ce qu’est (et n’est pas) la DSPM, à son importance, à son fonctionnement et à la façon de bien évaluer une solution DSPM.
Nous avons rédigé cet article de blog pour vous aider à mieux comprendre la DSPM et ce que ce concept signifie pour la protection des données sensibles dans des environnements cloud complexes. Lisez la suite pour en savoir plus.
Qu'est-ce que la DSPM ?
Selon Gartner, « La gestion de la posture de sécurité des données (ou DSPM en anglais) offre une visibilité sur l'endroit où se trouvent les données sensibles, les personnes qui ont accès à ces données, la façon dont elles ont été utilisées et le niveau de sécurité du dépôt de données ou de l'application. »
Bien que l'acronyme DSPM soit nouveau, le concept ne l'est pas.
La DSPM reprend les principes de la sécurité des données et les applique principalement aux environnements cloud. La plupart des concepts utilisés pour sécuriser les données sur site et dans les applications sont les mêmes : recherche des données, contrôle de l’accès aux données et surveillance des données.
Une solution DSPM efficace recherche l’emplacement des données sensibles dans l’ensemble de votre environnement cloud (IaaS, bases de données, applications SaaS et stockage de fichiers dans le cloud), analyse les risques et le rayon d’exposition, et permet aux équipes dédiées au cloud, à l’informatique et à la sécurité de détecter efficacement les menaces et de combler les lacunes en matière de sécurité.
La gestion de la posture en matière de sécurité cloud (CSPM) se concentre sur la sécurisation de l’infrastructure, et la prévention des pertes de données (DLP) se focalise sur la perte de données sensibles en mouvement aux points de sortie. La DSPM se concentre sur la protection des données elles-mêmes et sur le renforcement de la posture de sécurité afin de prévenir les fuites de données.
Pourquoi la DSPM est-elle importante ?
Les entreprises continuent de stocker des données précieuses dans des environnements cloud de plus en plus complexes.
Selon Gartner, 80 % des entreprises auront adopté plusieurs offres IaaS dans le cloud public d’ici 2025. La flexibilité et l’évolutivité offertes par ces environnements cloud rendent également plus difficile la sécurisation des données qu’ils contiennent, ce qui augmente le risque de fuites de données.
Les fuites majeures de données sont de plus en plus fréquentes dans les domaines du SaaS et de l'IaaS.
En janvier 2022, un compartiment AWS S3 non sécurisé a exposé plus d’un million de fichiers sur Internet, y compris des dossiers d’employés d’aéroport. Dans un autre exemple, des centaines d’organisations ont laissé fuir des informations privées et sensibles en raison d’une mauvaise configuration de pages Salesforce. La récente fuite de données subie par Sisense a exposé des téraoctets de données grâce à un jeton codé en dur qui a permis aux attaquants d’accéder aux compartiments Amazon S3.
De telles fuites de données sont difficiles à prévenir dans des environnements cloud tentaculaires. La DSPM vise à sécuriser les données et à prévenir les fuites de données dans les domaines IaaS, PaaS et SaaS. Lorsqu’elles sont dotées des bonnes capacités DSPM, les organisations sont mieux préparées pour prévenir les fuites de données et répondre aux exigences de conformité, telles que HIPAA, RGPD, CCPA, NIST et ITAR.
Comment fonctionne la DSPM ?
L’objectif final de la DSPM est de prévenir les fuites de données et de rester en conformité. Pour ce faire, une solution DSPM efficace comprend deux types de capacités : les capacités passives et les capacités actives.
Les capacités passives sont toujours activées et fonctionnent en arrière-plan pour fournir une visibilité en temps réel sur les données et leur posture de sécurité. Elles incluent la recherche et la classification des données, ainsi que l’analyse du rayon d’exposition et de la posture.
Recherche et classification des données
Pour protéger les données sensibles, vous devez d’abord comprendre quelles sont les données sensibles qui existent et où elles se trouvent. Une solution DSPM analyse et recherche automatiquement les données sensibles de votre environnement et les classe en fonction de leur sensibilité et de leur type, par exemple s’il s’agit d’identifiants, de données PHI, d’informations personnelles, de données HIPAA, etc.
Toutefois, toutes les solutions de recherche et de classification des données ne se valent pas toutes. Les environnements cloud étant en constante évolution, les données doivent être analysées en permanence et en temps réel.
L’échantillonnage des données, en particulier dans les magasins d’objets comme Amazon S3 et Azure Blob, est insuffisant. Contrairement à une base de données, vous ne pouvez pas supposer que, parce que vous avez analysé 2 To d’un compte S3 et n’avez trouvé aucun contenu sensible, les 500 To de données qui restent ne sont pas sensibles. Sans une recherche et une classification approfondies et en temps réel des données, l’organisation est exposée à des risques.
Analyse du rayon d'exposition et de la posture
Une fois que vous aurez compris quelles données sensibles existent et où elles se trouvent, l’étape suivante consiste à comprendre les failles de sécurité et les risques d’exposition. La DSPM analyse les données et détecte les vulnérabilités telles que les mauvaises configurations, les autorisations surexposées et la responsabilité des applications tierces.
Pour bien comprendre les risques et le rayon d’exposition, les données sensibles doivent être associées aux autorisations et à l’activité d’accès sur toutes les plateformes, les applications et jusqu’au niveau de l’objet. Sans cette compréhension approfondie, votre posture de sécurité peut facilement être compromise.
Les expositions et la posture doivent également être mappées aux cadres de conformité pertinents, tels que CMMC, RGPD, HIPAA, ISO, NIST, PCI et SOX. Cela vous aide à rester en conformité et vous fournit un point de référence pour la sécurité globale de vos données.
Les capacités actives de la DSPM permettent aux équipes informatiques et de sécurité de combler les lacunes de sécurité et de réduire le rayon d’exposition afin d’améliorer la posture de sécurité de l’organisation. Bien que certaines solutions DSPM n’offrent pas de fonctionnalités de remédiation, cette étape cruciale permet de combler le fossé entre la simple identification des risques liés aux données et la sécurisation de vos données.
Remédiation
Une fois les failles de sécurité et les expositions identifiées, la DSPM permet aux équipes dédiées au cloud, à l’informatique et à la sécurité de résoudre rapidement les problèmes à la racine.
Plus la résolution des problèmes prend du temps (élimination des autorisations à risque, des erreurs de configuration, des utilisateurs fantômes, des liens de partage, etc.), plus le risque de fuites de données est grand. Il suffit de huit heures pour pénétrer dans une base de données non sécurisée ou mal configurée.
Corriger manuellement un seul fichier mal configuré peut prendre des heures et les problèmes peuvent rapidement s’accumuler. Pour la plupart des organisations, des mesures correctives automatisées sont nécessaires pour combler les failles de sécurité, rester conformes et créer un environnement qui devient plus résilient au fil du temps.
Une DSPM efficace combine des capacités passives et actives.
Une solution de DSPM est-elle autonome ?
La DSPM devrait occuper une place importante dans votre stratégie de sécurité des données si votre organisation utilise principalement le cloud. Mais même pour les organisations privilégiant le cloud, la DSPM n’est qu’un élément d’une stratégie globale en matière de données.
La DSPM fait partie d'une approche holistique de la sécurité des données.
Outre l’amélioration de la sécurité de vos données grâce à la DSPM, il est important de détecter les attaques actives. La détection des menaces et la réponse correspondante sont particulièrement importantes si vous travaillez dans un secteur très ciblé par les attaquants, comme la santé, l’administration, la fabrication ou la finance.
Les capacités de surveillance et d’investigation des événements sont également des fonctionnalités importantes qui vont au-delà de la classification des données et permettent de comprendre en profondeur le flux de données sensibles (comment elles ont été créées, mises à jour, supprimées, chargées, téléchargées et partagées). Dans de nombreux cas, comme les menaces internes, les ransomwares et les menaces persistantes avancées (APT), il est essentiel de comprendre l’utilisation qui est faite des données pour détecter et prévenir les fuites.
Pour la plupart des organisations, il est important de sécuriser les données où qu’elles se trouvent, même si vous êtes principalement dans le cloud, y compris sur site, avec des copilotes d’IA, des e-mails, etc. Tous les endroits où pourraient se trouver des données sensibles peuvent devenir des vecteurs d’attaque, même si vos données sensibles sont principalement dans le cloud. Les copilotes de l’IA générative, par exemple, constituent un moyen de plus en plus simple pour les acteurs malveillants d’obtenir des identifiants.
DSPM et CSPM : les différences
À première vue, la DSPM et la CSPM peuvent sembler similaires. Bien que les deux solutions aient été conçues pour protéger votre entreprise contre les cybermenaces, elles adoptent chacune une approche unique pour atteindre cet objectif.
La DSPM garantit que les données sensibles sont protégées où qu’elles se trouvent, tandis que la CSPM se concentre sur la sécurisation de l’infrastructure cloud des applications métier critiques en adoptant une approche centrée sur les vulnérabilités. La CSPM scanne et analyse l’infrastructure cloud pour identifier les erreurs de configuration et d’autres failles de sécurité.
La CSPM excelle dans la détection des vulnérabilités et des erreurs de configuration des infrastructures et des réseaux, comme l’identification d’une instance EC2 vulnérable exécutant Windows non patché avec Log4j. La DSPM, quant à elle, permet une compréhension granulaire des données et de leur rayon d’exposition. Par exemple, un instantané de base de données contenant des données sensibles sur un patient est exposé à un compte de service avec un mot de passe faible, ce qui en fait une cible de choix pour les attaquants.
Les outils de CSPM ne fournissent pas de visibilité sur les données elles-mêmes et, utilisés seuls, ils ne seraient pas en mesure de détecter des attaques telles qu’un acteur malveillant trouvant une API dans un instantané orphelin, ou utilisant l’ingénierie sociale pour obtenir un accès avec des identifiants légitimes, ou un interne copiant des données sensibles sur un compte personnel. Même si les outils de CSPM sont précieux, le seul moyen infaillible de prévenir une fuite de données est de savoir ce qui se passe avec les données elles-mêmes.
La plateforme Varonis de sécurité des données comble les lacunes existant entre ces deux concepts. Notre connecteur universel de base de données peut s’intégrer à n’importe quelle base de données connectée au réseau pour rechercher et classer des données structurées sensibles à grande échelle, où qu’elles se trouvent.
DSPM et DLP : les différences
Les solutions de DLP utilisent une grande variété de techniques pour protéger les données, telles que la classification, le chiffrement, la surveillance et l’application de politiques, et se concentrent sur les endpoints ou le périmètre du cloud par le biais de points de sortie contrôlés.
Alors que les outils de DLP visent à empêcher les données de quitter l’environnement, la DSPM se concentre sur l’amélioration de la sécurité des données pour permettre aux équipes de comprendre quelles données sensibles existent, analyser l’exposition et les risques et combler les failles de sécurité.
Notre plateforme de sécurité des données utilise des frameworks DSPM et DLP conjointement pour améliorer la visibilité sur les données, la conformité, la posture de sécurité et la détection des menaces.
Comment évaluer les solutions de DSPM ?
Il existe un volume colossal d’informations et de promesses autour des solutions DSPM, et il peut être difficile de distinguer une solution légitime d’une solution qui ne vous offrira pas les résultats escomptés.
Notre guide d’achat DSPM vous aide à mieux comprendre les différents types de solutions DSPM et à éviter les pièges les plus courants. Il inclut des questions à poser aux fournisseurs pour vous assurer que vous achetez une solution de sécurité des données qui répond aux besoins de votre organisation.
Dans ce guide, les principaux RSSI recommandent trois étapes d’évaluation qui représentent les meilleures pratiques pour évaluer une solution DSPM :
1. Réalisez une validation de concept (POC)
« Lorsque j'évalue une nouvelle technologie, ma règle d'or est de valider les affirmations à l'aide d'un POC. Si un fournisseur refuse le POC, cela devrait vous mettre la puce à l'oreille. Essayez de réaliser des POC sur des systèmes de production ou des sandbox qui reproduisent l'échelle de votre environnement de production. Pour la DSPM, testez les résultats de classification des données afin de rechercher de faux positifs. »
2. Demandez un exemple d'évaluation des risques.
« Demandez à voir un rapport de risque anonymisé provenant d'un vrai client, et non une brochure marketing. Cela peut vous aider à déterminer si le fournisseur propose le niveau de détail et de profondeur que vous recherchez. Les exemples de rapports peuvent vous aider à déterminer
si un POC en vaut la peine. »
3. Lisez de vrais témoignages clients
« Ne vous fiez pas uniquement aux récompenses et à la bonne presse de certains fournisseurs, car certains paient pour ce type de retour. Recherchez les avis validés sur la solution DSPM provenant de sources fiables comme Gartner et Forrester. Demandez à parler directement aux clients référents. Assurez-vous que le fournisseur présente des études de cas clients sur son site web. Évitez d'être son premier gros client. »
N'attendez pas qu'une faille de sécurité se produise.
La DSPM devrait être au cœur de toutes les organisations qui privilégient le cloud et qui donnent la priorité à la sécurité des données car ce type de solutions constituent un élément important d’une approche globale de la sécurité des données.
En comprenant comment la recherche et la classification des données, l’analyse et la posture de l’exposition, ainsi que la remédiation, contribuent à prévenir les fuites de données et à se conformer à des réglementations de plus en plus strictes, vous serez en mesure de mieux déterminer quelles sont les fonctionnalités DSPM adaptées à votre entreprise.
La solution DSPM de Varonis, qui est en tête du classement de Gartner Peer Insights, est la seule qui corrige les risques, applique les politiques et détecte les menaces en temps réel de manière automatique.
Découvrez notre plateforme et planifiez une démonstration de 30 minutes pour en savoir plus.
