Les violations de données font la une des médias. Les organisations savent parfaitement que même si elles se conforment aux normes PCI ou SOX, les nouvelles réglementations de conformité comme le RGPD exigent des contrôles de sécurité des données encore plus stricts. Pour vous aider à améliorer votre sécurité et votre conformité, nous avons établi une liste des douze meilleures solutions de sécurité des données, pour protéger vos informations sensibles et passer les audits.
1. Découverte et classification des données
Pour protéger efficacement vos données, vous devez savoir exactement quelles sont les informations sensibles dont vous disposez. Une solution de découverte et de classification des données analyse vos dépôts de données à la recherche des types de données que vous jugez importants, en fonction des normes sectorielles ou de vos besoins particuliers (par exemple, les données PCI DSS, les données soumises au RGPD, la propriété intellectuelle…). Elle les classe par catégories et les marque clairement avec une signature numérique indiquant leur classification. Vous pouvez vous servir de ces indications pour focaliser vos outils de sécurité des données et mettre en place des contrôles qui protègent les données en fonction de leur valeur pour l’organisation. Si les données sont modifiées, leur classification peut être actualisée. Cependant, des contrôles doivent être mis en place pour empêcher les utilisateurs de falsifier le niveau de classification ; par exemple, seuls les utilisateurs autorisés doivent pouvoir passer les données dans une catégorie inférieure.
Des outils comme Netwrix Data Classification facilitent la découverte et la classification des données et améliorent leur précision.
2. Pare-feu
Un pare-feu fait partie des premières lignes de défense d’un réseau car il isole un réseau d’un autre. Les pare-feux empêchent le trafic indésirable de pénétrer dans le réseau. De plus, vous ne pouvez ouvrir que certains ports, ce qui donne aux pirates une marge de manœuvre réduite pour pénétrer dans votre système ou télécharger vos données. Selon la stratégie de l’organisation en matière de pare-feu, le pare-feu peut interdire la totalité du trafic ou une partie seulement, ou encore effectuer une vérification sur une partie ou la totalité du trafic.
Les pare-feux peuvent être des systèmes autonomes ou inclus dans d’autres dispositifs d’infrastructure, par exemple des routeurs ou des serveurs. Il existe des pare-feux matériels et logiciels.
3. Sauvegarde et récupération
Une solution de sauvegarde et récupération permet aux organisations de se protéger en cas de suppression ou de destruction de leurs données. Toutes les ressources essentielles de l’entreprise doivent être dupliquées régulièrement pour assurer la redondance, afin qu’en cas de panne de serveur, de suppression accidentelle ou de dommage malveillant dû à un rançongiciel ou à d’autres attaques, vous puissiez restaurer vos données rapidement.
4. Antivirus
Les logiciels antivirus comptent parmi les outils de sécurité les plus largement adoptés, tant pour un usage personnel que professionnel. Il existe de nombreux éditeurs de logiciels antivirus sur le marché, mais tous utilisent à peu près les mêmes techniques pour détecter les codes malveillants, à savoir les signatures et la détection heuristique. Les solutions antivirus contribuent à détecter et à supprimer les chevaux de Troie, les rootkits et les virus susceptibles de voler, de modifier ou d’endommager vos données sensibles.
5. Systèmes de détection et de prévention des intrusions (IDS/IPS)
Les systèmes traditionnels de détection des intrusions (IDS) et de prévention des intrusions (IPS) effectuent une inspection approfondie des paquets sur le trafic réseau et enregistrent les activités potentiellement malveillantes. Un IDS peut être configuré pour évaluer les journaux d’événements du système, examiner les activités réseau suspectes et émettre des alertes sur les sessions qui semblent violer les paramètres de sécurité. Un IPS offre des capacités de détection et peut également mettre fin à des sessions jugées malveillantes (mais ces dernières se limitent généralement à des attaques très grossières et évidentes telles que les DDoS). Il y a presque toujours une étape analytique entre l’alerte et l’action – les administrateurs sécurité évaluent si l’alerte est une menace, si cette menace les concerne et s’ils peuvent faire quelque chose pour y remédier. Les IPS et IDS sont très utiles en matière de protection des données car ils peuvent empêcher les pirates de pénétrer dans vos serveurs de fichiers à l’aide d’exploits et de logiciels malveillants. Toutefois, ces solutions nécessitent un bon réglage et une analyse approfondie avant de prendre une décision de fermeture de session sur une alerte entrante.
6. Gestion des informations et des événements de sécurité (SIEM)
Les solutions de gestion des informations et des événements de sécurité (SIEM) fournissent une analyse en temps réel des journaux de sécurité qui sont enregistrés par les équipements réseau, les serveurs et les applications logicielles. Non seulement les solutions SIEM agrègent et mettent en corrélation les événements entrants, mais elles peuvent également effectuer une déduplication des événements : supprimer des rapports multiples sur une même instance et agir ensuite en fonction de critères d’alerte et de déclenchement. En général, elles fournissent également une panoplie d’outils d’analyse qui vous permettent de ne trouver que les événements qui vous intéressent, par exemple les événements liés à la sécurité des données. Les solutions SIEM sont essentielles pour les enquêtes relatives à la sécurité des données.
7. Prévention des pertes de données (DLP)
Les systèmes de prévention des pertes de données surveillent les postes de travail, les serveurs et les réseaux afin de veiller à ce que les données sensibles ne soient pas effacées, supprimées, déplacées ou copiées. Elles surveillent également qui utilise et transmet des données, en vue de repérer les utilisations non autorisées.
8. Contrôle d’accès
Dans la plupart des cas, les utilisateurs ne doivent pas être autorisés à copier ou à stocker des données sensibles localement ; ils doivent au contraire être contraints de manipuler les données à distance. Dans l’idéal, les données sensibles ne doivent jamais être stockées sur un système portable, quel qu’il soit. Tous les systèmes doivent nécessiter une connexion d’un type ou d’un autre, et être assortis de conditions permettant de verrouiller le système en cas d’utilisation douteuse.
De plus, les fichiers sensibles ne doivent être accessibles qu’au personnel autorisé. Les autorisations doivent être accordées aux utilisateurs en stricte conformité avec le principe du moindre privilège. Une liste de contrôle d’accès (ACL) spécifie qui peut accéder à quelle ressource et à quel niveau. Il peut s’agir d’une composante interne d’un système d’exploitation ou d’une application. Les listes de contrôle d’accès peuvent être des listes blanches ou des listes noires. Une liste blanche est une liste d’éléments autorisés ; une liste noire est une liste des choses interdites. Dans un processus de gestion de fichiers, les listes blanches de contrôle d’accès sont plus couramment utilisées, et elles sont configurées au niveau du système de fichiers. Par exemple, dans Microsoft Windows, vous pouvez configurer les autorisations NTFS et créer des listes de contrôle d’accès NTFS à partir de celles-ci. Vous trouverez plus d’informations sur la manière de configurer correctement les autorisations NTFS dans cette liste des bonnes pratiques de gestion des autorisations NTFS. Rappelez-vous que des contrôles d’accès doivent être appliqués dans chaque application qui dispose d’un contrôle d’accès basé sur les rôles (RBAC) ; les groupes et la délégation Active Directory en sont des exemples.
9. Solutions de sécurité Cloud
Les particuliers et les entreprises collectent et stockent de plus en plus de données. Cette tendance a conduit au stockage en connexion directe (DAS), au stockage en réseau (NAS), aux réseaux de stockage (SAN) et maintenant au stockage Cloud. Le stockage Cloud permet de stocker de plus en plus de données et de déléguer à votre fournisseur plutôt qu’aux administrateurs locaux le soin de s’occuper des questions de dimensionnement.
Malgré ces avantages, du point de vue de la sécurité, le stockage Cloud peut présenter des inconvénients. Vous devez vous assurer que votre fournisseur de services Cloud est en mesure de protéger vos données de manière adéquate, et que vous disposez d’une redondance adéquate, de capacités de reprise après sinistre, etc. Veillez à chiffrer les données, à les sauvegarder et à mettre en place le plus de contrôles possible.
Vous pouvez obtenir de l’aide auprès des fournisseurs de sécurité Cloud, qui vendent la sécurité sous forme de service (SECaaS), un business model basé sur abonnement, grâce auquel un grand fournisseur de services intègre des services de sécurité dans une infrastructure d’entreprise et les met à disposition sur la base d’un abonnement. L’abonné n’a pas besoin de matériel sur site, et les services proposés peuvent inclure des fonctionnalités telles que l’authentification, un antivirus, un anti-malware/spyware et la détection d’intrusion. Ainsi, la SECaaS fait office de tampon contre de nombreuses menaces en ligne.
10. Audit
Pour protéger correctement vos informations sensibles, vous devez également auditer les modifications apportées à vos systèmes et les tentatives d’accès à vos données critiques. Par exemple, tout compte qui dépasse le nombre maximum de tentatives de connexion échouées doit automatiquement être signalé à l’administrateur en charge de la sécurité de l’information pour enquête. Il est capital de pouvoir déceler les modifications apportées aux informations sensibles et aux autorisations associées. En analysant les informations historiques pour comprendre comment les données sensibles sont utilisées, qui les utilise et comment elles circulent, vous pouvez élaborer du premier coup des stratégies efficaces et précises et anticiper l’impact éventuel sur la sécurité des changements dans votre environnement. Ce processus vous permet également d’identifier des risques jusqu’alors inconnus. Certains outils tiers, comme Netwrix Auditor, simplifient la gestion des modifications et l’audit des activités des utilisateurs.
11. Chiffrement des données
Le chiffrement des données est très important si vous disposez de fichiers ultrasecrets qui ne doivent pas être lus même s’ils sont volés. Le reniflage de réseaux et autres attaques de pirates visant à voler des informations sont si courants que les mots de passe, les numéros de cartes bancaires et autres informations sensibles peuvent être dérobés via des protocoles non chiffrés. Les protocoles de communication chiffrés apportent une solution à ce problème de confidentialité. Par exemple, sans le chiffrement SSL (Secure Sockets Layer), les transactions par carte bancaire sur les sites Web grand public seraient soit très peu pratiques, soit peu sûres.
S’il est possible de protéger les données privées avec des algorithmes cryptographiques, le chiffrement peut aussi être utilisé par les pirates. Les systèmes de détection d’intrusion coûteux conçus pour renifler le trafic réseau à la recherche de signatures d’attaque sont inutiles si les agresseurs utilisent un canal de communication chiffré. Souvent, un accès Web chiffré destiné à la sécurité des clients est utilisé par les pirates parce qu’il est difficile à surveiller. Par conséquent, toutes les données critiques doivent être chiffrées lorsqu’elles sont au repos ou en transit sur le réseau.
Les systèmes portables doivent également utiliser des solutions de disques chiffrés s’ils sont susceptibles de contenir des données importantes de quelque nature que ce soit. En ce qui concerne les systèmes de bureau qui stockent des informations critiques ou propriétaires, le chiffrement des disques durs permettra d’éviter la perte d’informations critiques. En plus du chiffrement logiciel, un chiffrement matériel peut être appliqué. Dans les paramètres avancés de certains menus de configuration du BIOS, vous pouvez choisir d’activer ou de désactiver un module de plateforme sécurisée (Trusted Platform Module, TPM), c’est-à-dire une puce qui peut stocker des clés de chiffrement, des mots de passe ou des certificats. Une TPM permet de générer des clés de hachage et de protéger les smartphones et d’autres appareils en plus des PC.
12. Sécurité physique
Lors des discussions sur la sécurité des données, la sécurité physique est souvent négligée. Une mauvaise politique de sécurité physique peut entraîner la compromission totale de vos données. Tous les postes de travail doivent être cadenassés afin qu’ils ne puissent pas être retirés de la zone. De plus, un verrou doit empêcher l’ouverture des boîtiers et donc l’exposition des éléments internes du système, faute de quoi les disques durs ou autres composants sensibles qui stockent les données pourraient être retirés et compromis. Une bonne pratique consiste à mettre en place un mot de passe pour le BIOS afin d’empêcher les attaquants de démarrer sur d’autres systèmes d’exploitation à l’aide de supports amovibles.
Autre instrument susceptible de provoquer des fuites de données : un smartphone équipé d’un appareil photo capable de prendre des photos et des vidéos haute résolution et d’enregistrer un son de bonne qualité. Il est très difficile de protéger vos documents contre des employés malveillants munis de ce type d’appareils mobiles ou de détecter une personne prenant une photo d’un moniteur ou d’un tableau blanc contenant des données sensibles, mais vous devez avoir une politique qui interdit l’utilisation d’appareils photo dans le bâtiment.
La surveillance de toutes les installations critiques de votre entreprise par des caméras vidéo équipées de détecteurs de mouvement et de vision nocturne est essentielle pour repérer les personnes non autorisées qui tentent de voler vos données via un accès direct à vos serveurs de fichiers, vos archives ou vos sauvegardes, ainsi que pour repérer les personnes qui prennent des photos de données sensibles dans des zones restreintes.
L’espace de travail et l’équipement de chaque employé doivent être sécurisés avant d’être laissés sans surveillance. Contrôlez notamment les portes, les tiroirs de bureau et les fenêtres, et ne laissez pas de papiers sur votre bureau. Toutes les copies papier des données sensibles doivent être mises sous clé, puis complètement détruites lorsqu’elles ne sont plus nécessaires. Par ailleurs, ne partagez jamais ou ne dupliquez jamais les clés d’accès, les cartes d’identité, les codes de verrouillage, etc.
Avant de jeter ou de recycler un lecteur de disque, effacez complètement toutes les informations qu’il contient et assurez-vous que les données ne sont plus récupérables. Les vieux disques durs et autres équipements informatiques qui contiennent des informations critiques doivent être physiquement détruits ; désignez un ingénieur informatique chargé de contrôler personnellement ce processus.
