Comment prévenir les violations de données

La prévention des violations de données est une priorité majeure pour les organisations de toutes tailles, dans tous les secteurs d’activité. Une fuite d’informations sensibles – qu’il s’agisse d’informations personnelles comme des numéros de carte de paiement et de sécurité sociale, ou d’informations propriétaires comme de la propriété intellectuelle ou des prévisions financières – peut avoir des conséquences dramatiques. Une personne dont les données personnelles ont été dérobées court un risque accru d’usurpation d’identité et d’autres utilisations abusives, et les organisations victimes d’un incident de cybersécurité sont susceptibles de se voir infliger des amendes de non-conformité et d’autres sanctions financières, ainsi que de perdre des parts de marché et de voir leur réputation entachée.

Alors que les volumes d’informations augmentent et que le contexte de menaces évolue sans cesse, il peut paraître insurmontable de savoir comment se protéger contre une violation de données. Pourtant, ce n’est pas si terrible. Voici neuf conseils avisés pour protéger votre entreprise contre les violations de données.

1. Consultez les réglementations, elles vous orienteront

Les réglementations relatives à la protection des données, par exemple la loi sur la portabilité des informations de santé (HIPAA), la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la norme de sécurité des données du secteur des cartes de paiement (PCI DSS), comportent des exigences spécifiques sur la manière dont les organisations doivent gérer et protéger les données sensibles.

Vous devez connaître les réglementations auxquelles votre entreprise est soumise et vous appuyer sur leurs exigences pour décider des contrôles de sécurité à mettre en place pour chaque type de données. Si, par exemple, votre entreprise conserve des données sur les paiements par carte, vous devez vous conformer à la norme PCI DSS ; assurez-vous donc que tous les fichiers et bases de données qui contiennent les numéros de carte de paiement des clients sont correctement sécurisés, et surveillez en permanence les activités suspectes qui concernent ces données.

2. Établissez une politique de sécurité en bonne et due forme

Toute organisation devrait disposer d’une politique de sécurité de l’information écrite couvrant tous les aspects du traitement des données dans son réseau : quelles données peuvent être collectées, comment elles doivent être gérées, la conservation de chaque type de données, le niveau des contrôles de sécurité requis pour chaque type de données, etc.

Pour appliquer cette politique, il vous faut une solution automatisée de découverte et de classification des données. En identifiant toutes les informations sensibles que vous créez, traitez et stockez et en les classant par type, vous serez en mesure de les protéger selon leur valeur et leur sensibilité.

3. Créez un plan d’intervention en cas d’incident

Pour réagir efficacement aux menaces qui pèsent sur la sécurité des données de votre entreprise, vous devez disposer d’un plan d’intervention contre les violations de données écrit et testé. La publication spéciale 800-61 du NIST présente les quatre étapes fondamentales que doit comporter un plan d’intervention en cas d’incident :

  • Préparation
  • Détection et analyse
  • Confinement, éradication et récupération
  • Gestion post-incident

4. Utilisez le chiffrement

Le chiffrement des données est une bonne pratique de sécurité souvent négligée ; il est pourtant incroyablement efficace car il rend les données volées inutilisables pour les voleurs. Le chiffrement peut être logiciel ou matériel. Il est essentiel de chiffrer les données au repos et en transit ; assurez-vous que tous les appareils portables susceptibles de contenir des données sensibles sont chiffrés.

5. Instaurez des autorisations restrictives d’accès aux données

Seul le personnel autorisé doit avoir accès aux données confidentielles. En appliquant rigoureusement le principe du moindre privilège (en limitant les droits d’accès de chaque employé, sous-traitant et autre utilisateur au minimum nécessaire pour leur travail), vous minimisez les risques que des utilisateurs internes malveillants ou des pirates compromettent un compte d’utilisateur.

6. Séparez les comptes professionnels des comptes personnels

N’autorisez pas les employés à stocker ou à accéder aux données de l’entreprise depuis leur compte personnel, notamment pour les services Cloud comme Dropbox et OneDrive. Assurez-vous que tous les services utilisés au sein de l’organisation sont contrôlés par le service informatique, et non par des utilisateurs individuels, ceci afin de garantir que des mesures de protection appropriées sont en place, y compris en matière d’authentification et de sauvegardes.

7. Auditez régulièrement votre infrastructure

Des audits périodiques vous permettent d’évaluer l’efficacité de vos contrôles de sécurité et d’identifier les risques de sécurité. Les experts recommandent de réaliser des audits au moins deux fois par an, mais cela peut être plus fréquemment, par exemple tous les trimestres ou tous les mois. En plus d’améliorer la sécurité, les audits internes contribuent à vous préparer aux audits de conformité. Un logiciel d’audit est un atout inestimable pour rationaliser le processus d’audit interne et externe.

8. Évaluez les vulnérabilités

Votre stratégie de sécurité doit inclure la gestion des vulnérabilités. Répertoriez toutes les ressources de votre infrastructure informatique, telles que les serveurs, les ordinateurs et les bases de données, et attribuez une valeur à chacune d’entre elles. Ensuite, identifiez les vulnérabilités et les menaces qui pèsent sur chaque ressource au moyen de techniques telles que l’analyse des vulnérabilités et les tests de pénétration. En évaluant la probabilité et l’impact potentiel de chaque risque, vous pouvez hiérarchiser les mesures d’atténuation des vulnérabilités les plus graves qui affectent vos ressources les plus précieuses.

9. Formez vos employés

La cybersécurité ne concerne pas seulement les équipes informatiques et de sécurité. Chaque utilisateur doit connaître les bonnes pratiques d’identification des menaces et de prévention des violations de données. En effet, un grand nombre de violations découlent directement d’une erreur commise par une personne au sein de l’entreprise, par exemple un clic sur un lien de phishing ou une copie de données non chiffrées sur un ordinateur portable personnel. MediaPro a demandé à des utilisateurs professionnels comment ils géreraient divers scénarios liés à la sécurité ; 75 % des personnes interrogées « ont eu du mal à identifier les bonnes pratiques relatives aux comportements appropriés en matière de cybersécurité et de confidentialité des données ». Il est essentiel de former les utilisateurs à la protection des données sensibles afin de prévenir les violations.

Apprenez-leur notamment à choisir des mots de passe forts. Expliquez-leur ce que signifie « fort » et pourquoi il est important d’avoir des mots de passe forts. Ensuite, automatisez la mise en œuvre de ce principe par le biais de la stratégie de groupe, lorsque cela est possible.

Conclusion

En suivant ces 9 bonnes pratiques, vous contribuerez à réduire les risques de violation de données. En faisant de la protection des données une priorité absolue et en choisissant les bonnes solutions pour y parvenir, vous améliorez considérablement la cybersécurité et la conformité réglementaire.

Détectez les comportements suspects des utilisateurs pour empêcher toute violation de données