logo

Les bases de la sécurité et de la protection des données

Les données sont l’actif le plus précieux de toute entreprise. Quel que soit votre secteur d’activité, vous devez absolument prendre soin de vos données, qu’il s’agisse de rapports financiers, de dossiers médicaux ou d’un business plan de start-up.

Dans cet article, nous allons revenir aux fondamentaux de la sécurité des données, oubliés dans la frénésie qui s’est emparée du marché de la cybersécurité. Nous allons examiner pourquoi, malgré une attention croissante portée à la cybersécurité, le nombre de violations de données augmente constamment et comment cela affecte les processus de sécurité des données. Nous discuterons également des mesures spécifiques que vous pouvez prendre pour renforcer la sécurité de vos données sensibles sans avoir recours à des technologies de sécurité multiples et complexes ni dépenser une trop grande partie de votre budget.

Introduction à la sécurité des données

Qu’est-ce que la sécurité des données ? Elle constitue un élément important de la stratégie de sécurité globale. Elle comprend des méthodes d’identification et d’évaluation des menaces envers la sécurité, et de réduction des risques liés à la protection des informations sensibles et des systèmes informatiques sous-jacents.

Les données peuvent circuler partout librement, et l’objectif est de développer une stratégie de sécurité centrée sur les données afin de contrôler ce flux. La sécurité des données implique donc un ensemble vaste et complexe de mesures de protection contre divers problèmes de sécurité, tels que les accès non autorisés accidentels et intentionnels, les modifications qui peuvent entraîner la corruption ou la perte de données. Les techniques modernes de protection des données nécessitent de développer une sécurité réseau complète, de configurer des pare-feux, de sécuriser le web et les navigateurs, de mettre en place des politiques de sécurité, de gérer les risques et même d’introduire des principes de chiffrement.

Une grande partie du problème est due au fait que les organisations ont souvent du mal à comprendre ce que « sécurité des données » signifie réellement pour elles, et en quoi consistent des normes de sécurité des données adéquates et comment les atteindre. Les factures doivent-elles être sauvegardées ? Les utilisateurs doivent-ils étiqueter chaque fichier qu’ils créent pour indiquer le type de données qu’il contient ? Les accès distants à la base de données de production doivent-ils être restreints ?

Sans une bonne compréhension des bases de la sécurité des données, on risque de tenter de protéger chaque fichier (jusqu’aux versions périmées des guides produit) et de restreindre l’accès à chaque dossier, qu’il contienne de la propriété intellectuelle ou des photos du pique-nique de la société.

Pourquoi la sécurité des données est-elle aujourd’hui plus importante que jamais ?

Il y a plusieurs raisons qui justifient de consacrer du temps et de l’argent à la protection et à la sécurité des données. Lorsqu’elles élaborent des stratégies de sécurité, les entreprises modernes doivent relever les défis suivants :

Cyberattaques. La cybercriminalité fait appel à diverses techniques : rançongiciels, logiciels malveillants en tant que service, menaces persistantes avancées, attaques commanditées par des États, menaces internes, etc. Les cybercriminels remportent de grands succès. Au cours des 9 premiers mois de 2019 uniquement, 5 183 violations ont été signalées, et 7,9 milliards de documents ont été signalés comme exposés, selon l’étude intitulée Data Breach QuickView.

En même temps que les cybercrimes évoluent, les solutions de protection de l’information progressent également. Il est tout aussi important de mettre en œuvre des mesures préventives telles que des configurations de pare-feu limitant les trafics suspects entrant et sortant, et d’appliquer des solutions et des procédures en cas de violation de la sécurité. Les bonnes pratiques actuelles consistent à partir du principe que vous avez été victime d’une violation et à faire en sorte de disposer d’outils et de procédures adéquats de détection et d’enquête sur les attaques, ainsi que de redondances, de solutions de reprise après sinistre et d’autres solutions d’aide à la reprise. Prenez des mesures de découverte et de classification de toutes vos données critiques, protégez les données par chiffrement, sauvegardez-les et contrôlez autant que possible vos espaces de stockage.

Problèmes de conformité. Les entreprises sont soumises à une pression énorme résultant d’une variété de lois et de réglementations mondiales relatives à la protection des données. Comme les entreprises collectent des informations personnelles sensibles, elles doivent veiller à la sécurité des opérations de traitement et à l’application de contrôles et de mesures de sécurité.

Les organisations qui traitent des données à caractère personnel sont soumises à des réglementations de conformité, selon le type de ressources d’information et le secteur d’activité de l’entreprise. Le champ d’application de ces réglementations comprend également le contrôle de la sécurité des tierces parties, comme les fournisseurs ou les prestataires de services.

Ces réglementations comprennent les informations personnellement identifiables (PII), les informations médicales protégées (PHI, HIPAA) et les informations de cartes de paiement. Elles comprennent des normes telles que le règlement général sur la protection des données (RGPD) de l’Union européenne, la norme de sécurité des données du secteur des cartes de paiement (PCI DSS), la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), la loi fédérale de 2002 sur la gestion de la sécurité de l’information (FISMA), la loi sur les droits à l’éducation familiale et à la vie privée (FERPA), la loi Gramm-Leach-Bliley (GLBA). Le respect des réglementations est essentiel pour la réputation et la prospérité financière des organisations.

Les réglementations légales sont sévères. Les exigences du RGPD, par exemple, exigent de signaler les cas de violation de données. La nomination d’un délégué à la protection des données (DPO) est également requise. Parallèlement, les entreprises ne peuvent pas collecter de données personnelles sans le consentement des personnes concernées. Pertes financières, lourdes amendes, problèmes juridiques, atteinte à la réputation, perte de données et perturbation des opérations figurent pour une entreprise parmi les conséquences les plus dévastatrices d’une violation des données ou de la sécurité, sans oublier la baisse de confiance des investisseurs et des clients. En plus d’imposer des amendes, les autorités de protection peuvent émettre des avertissements et des réprimandes, et – dans certains cas extrêmes – interdire à l’organisation de traiter les données à caractère personnel.

La bonne nouvelle, c’est que de plus en plus d’entreprises se fixent comme priorité de mieux protéger les données qu’elles traitent et stockent – même si elles sont souvent motivées par la crainte d’une perte de réputation et de lourdes amendes. De plus, les exigences réglementaires servent souvent de guide à l’élaboration d’un programme solide de sécurité des données.

Trois grands défis pour la sécurité des données

Le battage autour de la cybersécurité fait croire aux entreprises que la sécurité des informations est trop compliquée pour elles, mais que si elles achètent toutes ces solutions dernier cri, elles pourront protéger leurs données contre les menaces de cybersécurité les plus récentes. Cela conduit aussi à l’idée fausse qu’il existe une panacée pour toutes les menaces possibles, et qu’il faut y consacrer des budgets de plus en plus élevés. Toutefois, les trois principaux défis qui peuvent entraver la sécurité de vos données ne sont pas liés à l’absence d’intelligence artificielle dans votre portefeuille.

Défi n° 1. Des équipes informatiques en sous-effectif. L’un des problèmes majeurs est que la plupart des services de sécurité informatique manquent de personnel. Dans les petites entreprises, par exemple, les administrateurs informatiques doivent en général porter plusieurs casquettes. Souvent, il n’y a qu’un seul informaticien responsable de tout, de la gestion des interruptions de service à la résolution des problèmes d’ordinateur en passant par la protection des données sensibles. Même dans les grandes entreprises, l’équipe informatique a tellement de travail qu’elle n’a tout simplement pas le temps de se pencher sur les types de données sensibles qu’elle stocke et d’élaborer un plan pour leur protection.

Défi n° 2. Des budgets limités. De nombreuses organisations ne sont pas prêtes à consacrer une grande part de leur budget à l’embauche de nouvelles recrues spécialisées en sécurité informatique ou à la formation de leurs employés actuels sur la manière d’assurer la sécurité des données. Il semble beaucoup moins coûteux et plus facile d’acheter quelques outils qui, d’après les fournisseurs de cybersécurité, protégeront les données contre de multiples menaces pesant sur la sécurité des données. Ceci entraîne le problème suivant :

Défi n° 3. Des dépenses consacrées à des outils inefficaces. Souvent, les entreprises ne savent pas quels types de données sensibles elles possèdent, ni où elles se trouvent, ni si elles sont surexposées. Mais elles achètent toute une série de logiciels différents pour les « protéger ». Elles constatent ensuite que les technologies qu’elles ont acquises à la hâte ne tiennent pas les promesses des fournisseurs ou ne répondent pas à leurs propres attentes. Ainsi, selon les prévisions de Cybersecurity Ventures, les dépenses mondiales en produits et services de cybersécurité ont atteint 120 milliards de dollars en 2018. Ce chiffre dépassera cumulativement les 1 000 milliards de dollars d’ici 2021, ce qui correspond à une augmentation des dépenses globales de cybersécurité de 88 % !

Concepts de base de la sécurité des données

La sécurité de l’information repose sur trois concepts fondamentaux :  confidentialité, intégrité et disponibilité.

La confidentialité est basée sur le principe du moindre privilège. Elle consiste à empêcher les accès non autorisés aux données sensibles afin d’éviter qu’elles ne tombent entre les mains des mauvaises personnes. Pour protéger la confidentialité, les organisations doivent prendre des mesures de sécurité adéquates, qui comprennent des listes de contrôle d’accès (LCA), le chiffrement, l’authentification à deux facteurs et des mots de passe forts, des logiciels de gestion des configurations, de surveillance et d’alerte.

L’intégrité consiste à protéger les données contre toute suppression ou modification abusive. Un moyen de garantir l’intégrité est d’utiliser une signature numérique pour vérifier l’authenticité des contenus ou des transactions sécurisées, ce que font largement les pouvoirs publics et les organismes de santé.

La disponibilité est une composante essentielle de la sécurité des données. Les contrôles de sécurité, les systèmes informatiques et les logiciels doivent tous fonctionner correctement pour garantir que les services et les systèmes informatiques sont disponibles en cas de besoin. Si, par exemple, votre base de données financières est hors ligne, vos comptables ne pourront pas envoyer ni payer les factures à temps, ce qui peut entraîner une perturbation des processus métier critiques.

Différence entre sécurité des données et sécurité des informations

En étudiant les bases de la sécurité des données, vous remarquerez peut-être que les professionnels de la sécurité utilisent les termes « sécurité des données » et « sécurité de l’information » avec des significations différentes. Quelle est la différence entre la sécurité des données et la sécurité de l’information ?

Voyons d’abord la définition des données et de l’information. Les faits et détails bruts individuels sont généralement appelés « données » : tableaux de données brutes par exemple. Pour que ces données deviennent des informations exploitables, il faut les replacer dans leur contexte, sans quoi elles n’ont pas de sens et ne peuvent pas être utilisées pour la prise de décision. « L’information » revêt donc un sens plus large. Les différents types d’information comprennent tous les types de données traitées, par exemple les communications professionnelles par e-mail.

La différence entre « protection des données » et « sécurité des données » doit également être examinée, car ces deux termes sont souvent confondus.

La protection des données concerne les pratiques actives de sécurité. Elle nécessite des outils et des procédures permettant de protéger les données contre les accès électroniques non autorisés, les modifications, la divulgation accidentelle, les perturbations et la destruction. Cela implique d’utiliser des stratégies physiques et logiques pour protéger les informations contre les violations de données, les cyberattaques et les pertes de données accidentelles ou intentionnelles.

Alors que la sécurité des données concerne les mesures administratives passives comme celles qui couvrent les aspects juridiques (politiques de confidentialité, conditions générales…). Ces politiques définissent la manière dont les organisations traitent et gèrent les données, en particulier les données sensibles, comme les informations personnelles identifiables, les données de cartes de paiement, les informations médicales ou relatives à l’éducation, etc.

Le top 5 des bases de la sécurité des données

Quels sont donc ces concepts de base de la sécurité des données dont nous ne cessons de parler ?

1. Évaluez et atténuez vos risques informatiques

Avant de vous intéresser aux données que vous stockez, faites le ménage. Commencez par analyser et mesurer les risques de sécurité liés à la façon dont vos systèmes informatiques traitent, stockent et autorisent l’accès aux informations sensibles et stratégiques. En particulier :

  • Identifiez les comptes d’utilisateur périmés dans vos répertoires. Vous devez identifier tous les comptes d’utilisateur périmés dans vos structures de répertoires et chercher avec vos collègues des autres services de l’entreprise s’ils peuvent être supprimés. Ensuite, trouvez pourquoi ces comptes étaient encore actifs et corrigez les processus sous-jacents. Par exemple, l’équipe informatique est-elle avertie lorsque des employés quittent l’entreprise ou lorsque les projets des sous-traitants sont terminés ? Si ce n’est pas le cas, les comptes associés peuvent rester inactifs tout en conservant leurs droits d’accès aux systèmes et aux données. Un pirate peut assez facilement trouver des comptes inactifs à cibler – une recherche rapide sur LinkedIn ou Twitter, par exemple, peut révéler qui a récemment quitté une entreprise. La prise de contrôle d’un compte périmé est un excellent moyen pour un intrus de sonder tranquillement votre réseau sans déclencher d’alertes.
  • Trouvez les utilisateurs dotés de privilèges d’administrateur superflus. Par exemple, des utilisateurs dotés de droits d’administrateur sur leur ordinateur peuvent, intentionnellement ou non, télécharger et exécuter un programme malveillant en mesure d’infecter de nombreux ordinateurs de votre réseau.
  • Analysez votre environnement à la recherche de fichiers potentiellement nuisibles. Recherchez régulièrement les exécutables, les programmes d’installation et les scripts, et supprimer ces fichiers afin que personne ne puisse accidentellement ouvrir des fichiers contenant des rançongiciels ou d’autres logiciels malveillants.

Votre objectif, lorsque vous évaluez vos configurations, est de verrouiller les choses, de mettre de l’ordre et de vous en tenir au minimum nécessaire sans laisser d’entités mal définies ni de configurations approximatives.

2. Effectuez un inventaire des actifs

Étape suivante : dressez une liste de tous vos serveurs et le but de chacun d’entre eux. Vous devez notamment :

  • Vérifiez vos systèmes d’exploitation. Vérifier si des serveurs exécutent un système d’exploitation qui n’est plus pris en charge par le fournisseur. Les systèmes d’exploitation obsolètes ne bénéficiant plus de correctifs de sécurité, ils constituent une cible attrayante pour les pirates, qui sont prompts à exploiter toute vulnérabilité du système.
  • Assurez-vous d’avoir un antivirus installé et à jour. L’antivirus est le « gardien » de votre système informatique. Un antivirus ne peut pas bloquer tous les types de cyberattaques, mais il constitue une première ligne de défense essentielle.
  • Examinez les autres programmes et services. Il se peut que des programmes dont vous n’avez plus besoin soient enfouis dans votre disque dur. Les applications inutiles ne se contentent pas de prendre de la place ; elles représentent un risque de sécurité car elles peuvent disposer des autorisations suffisantes pour manipuler vos données sensibles.

Prenez le temps de faire cet inventaire, cela vous permettra d’identifier les points faibles et les failles de sécurité qui doivent être éliminés, ainsi que d’autres aspects que vous devrez aborder. Vous devrez entreprendre régulièrement cette démarche, une fois ne suffit pas. Mais ainsi, vous renforcerez la sécurité de vos systèmes et réduirez considérablement le risque de fuites de données.

3. Connaissez vos données

Vous devez examiner chaque recoin de votre environnement et savoir exactement où se trouvent les données sensibles, aussi bien dans le Cloud que dans vos locaux. Remarque :

  • Les données peuvent être disséminées dans plusieurs systèmes. N’oubliez pas que vos données sont votre bien le plus précieux. Les organisations essaient souvent de protéger la totalité des données dont elles disposent. En fait, il n’est pas nécessaire de protéger toutes les données de la même façon. Vous devez vous concentrer sur les données vraiment importantes. Pour cela, localisez toutes les données sensibles que vous stockez et classez-les afin de savoir pourquoi elles sont sensibles et quelle est leur importance. Par exemple, vous devez savoir quelles données sont soumises à chacune des exigences de conformité que vous êtes tenu de respecter, afin de pouvoir les protéger en conséquence.
  • Les données peuvent être structurées et non structurées. Les données sensibles ne se limitent pas aux documents Word et Excel. De nombreuses entreprises stockent des informations clients critiques dans des bases de données, et de nombreux processus métier ont recours à ces informations. Pour cette raison, vous devez connaître de manière approfondie la sensibilité de vos données structurées et non structurées.
  • Les données sont sujettes à des modifications constantes. Les données sont dynamiques. Chaque jour, des fichiers sont créés, copiés, déplacés et supprimés. La classification des données doit donc être un processus continu.

4. Sachez qui peut accéder à quoi.

Ensuite, vous devez vous pencher sur les autorisations d’accès :

  • Déterminez le niveau d’accès de chaque utilisateur. Assurez-vous qu’il correspond au niveau d’accès requis. Un représentant commercial ne doit pas avoir accès aux documents comptables. Assurez-vous de contrôler tout le monde, y compris les administrateurs, les utilisateurs, les sous-traitants, les partenaires, etc.
  • Réexaminez régulièrement les droits d’accès. À nouveau, il ne s’agit pas d’un processus ponctuel. Vous devez réexaminer régulièrement les droits d’accès, car les conditions internes et le contexte de menaces évoluent avec le temps. Les accès d’un gestionnaire de compte aux informations de facturation clients doivent être révoqués si ce gestionnaire de compte change de rôle et devient ingénieur support technique.
  • Établissez et maintenez un modèle d’accès basé sur le principe du moindre privilège. Ainsi, vous limitez les dommages qu’un utilisateur peut causer délibérément ou accidentellement, ainsi que votre surface d’attaque si un attaquant prend le contrôle d’un compte d’utilisateur.

5. Voyez ce qui se passe

Le simple fait de classer les données et de savoir qui y a accès ne suffit pas à garantir la confidentialité, l’intégrité et la disponibilité des données. Vous devez également être informé de toutes les tentatives de lecture, de modification ou de suppression de données sensibles, qu’elles soient réussies ou infructueuses, de manière à pouvoir intervenir rapidement.

Voici quelques exemples de signes indiquant que quelqu’un essaie de voler des informations sensibles :

  • Recherchez les pics suspects d’activité. Par exemple, si quelqu’un supprime une grande quantité de données sensibles, l’équipe de cybersécurité doit recevoir une alerte et enquêter immédiatement sur cette activité. Il peut fort bien s’agir d’une attaque de rançongiciel ou d’un employé mécontent qui prévoit de quitter l’organisation.
  • Recherchez les activités en dehors des heures de travail. Vous devez vous tenir informé de toutes les actions que des utilisateurs effectuent en dehors des heures de bureau normales, lorsqu’ils supposent que personne ne les surveille.
  • Contrôlez les accès VPN anormaux. Il est essentiel que vous gardiez une trace de chaque tentative de connexion VPN. Si par exemple, vous êtes sûr que les utilisateurs du service financier n’utilisent jamais le VPN, il serait très suspect que votre comptable décide de consulter des factures depuis un autre réseau.

En suivant ces bonnes pratiques de protection des données, vous améliorerez considérablement la sécurité de vos données. Mais la plupart des organisations n’ont tout simplement pas le temps d’effectuer ces démarches. Par chance, elles peuvent s’en dispenser ! Il existe des outils et des solutions qui vous permettent d’automatiser la plupart de ces processus et de fournir les informations exactes dont vous avez besoin pour garantir la sécurité de vos données.

Utilitaire gratuit : Concentrez vos efforts de protection des données sur ce qui compte vraiment