Protection des données : 3 questions à se poser
À mesure que les entreprises deviennent plus orientées "données", elles en stockent davantage dans des endroits plus divers, et y accèdent de plusieurs façons : téléphones, tablettes et ordinateurs portables. Ces endpoints toujours connectés sont utilisés comme passerelles vers les grandes quantités de données sensibles stockées dans les datacenters et sur le Cloud.
Cette transformation numérique a contrarié la sécurité traditionnelle, qui se concentrait sur les périmètres et les endpoints. Avec le Cloud et l'infrastructure de travail nomade, un périmètre est difficile à définir et encore plus difficile à surveiller. Les endpoints sont fongibles. Actuellement, très peu de données « vivent » uniquement sur un téléphone ou un ordinateur portable.
Cette évolution a conduit certaines organisations à s'interroger davantage sur la protection des données et le type de sécurité centrée sur les données.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
Le paradoxe de la protection des données
La protection des données est intuitivement simple, mais extrêmement complexe.
Si l'on peut répondre « oui » aux trois questions ci-après, alors les données sont protégées :
. Où sont stockées les données importantes ?
. Est-ce que seules les personnes autorisées y ont accès ?
. Ces personnes utilisent-elles les données correctement ?
Simple, n'est-ce pas ?
Pourtant, la plupart des organisations ne peuvent pas répondre « oui » à l'une de ces questions et pour certaines de leurs données, encore moins. Ces questions encadrent les trois dimensions de la protection des données - importance, accessibilité et utilisation - et la raison pour laquelle l'ensemble n'est pas plus important que la somme des parties. Les parties sont inefficaces sans l'ensemble.
Si l'on sait uniquement quelles données sont importantes, nous ne savons pas où elles sont exposées sans comprendre qui peut y accéder. Nous ne pouvons donc pas savoir qui doit y accéder et comment corriger correctement les expositions sans surveiller l'utilisation.
Sans l'utilisation, nous ne sommes pas capable de savoir si des données importantes sont volées ou chiffrées lors d'une attaque de ransomware.
Si l'on se concentre sur l'utilisation, nous pouvons voir quelles données ont été volées après une violation, ou même une alerte sur des méthodes d'accès anormales. Mais nous ne pouvons pas savoir si les données volées étaient importantes, ou qui d'autre peut y accéder et les voler aujourd'hui ou demain.
Peu importe la dimension par laquelle l'entreprise commence, elle découvrira très vite que les deux autres dimensions sont indispensables.
Dans une approche unidimensionnelle commune, certaines organisations tentent d'identifier les données importantes en demandant aux employés de repérer les fichiers manuellement ou de manière automatique afin d'identifier les données importantes, réglementées ou sensibles - ou une combinaison des deux. La plupart des organisations sont rapidement surprises par le nombre de fichiers et d'enregistrements importants qu'elles découvrent, et il n'existe pas de plan d'action clair sans les deux autres dimensions - accessibilité et utilisation. Traiter les enregistrements un par un est tout aussi impossible que de prendre des décisions radicales appliquées à tous simultanément.
Pour prendre des décisions éclairées ou améliorer la position par rapport au risque, l'entreprise doit savoir où sont concentrées et exposées (au risque) les données importantes et qui les utilise ou non (obsolètes). C'est la raison pour laquelle la protection des données ne finit pas par la classification ; c'est seulement le début.
Pourquoi répondre à ces questions est extrêmement complexe ?
L'identification des données importantes peut paraître simple : si nous savons comment trouver les adresses et les numéros de téléphone du service commercial par exemple, nous pouvons probablement identifier les mêmes éléments dans les feuilles de calcul de Microsoft 365 ou Google Drive. Toutefois, le simple fait de rechercher les mêmes choses ne signifie pas que c'est facile.
Lire aussi : L'Évolution des Plateformes de Trading : Comment la Technologie Révolutionne les Marchés Financiers
L'affinage de la classification implique beaucoup de sophistication et de développement, en supposant que l'on puisse accéder aux données. Pour accéder aux données, l'entreprise doit automatiser afin de se connecter aux bons emplacements, « lire » et analyser avec précision potentiellement des millions d'enregistrements et de fichiers, puis lire chaque jour les nouveaux et ceux mis à jour, de préférence sans nuire aux performances ou exploser la facture de Cloud computing.
Lorsqu'il s'agit d'analyser l'accessibilité, la majorité des entreprises ne réalise pas le nombre de dossiers, de fichiers et d'enregistrements à traiter. Un seul téraoctet de données contient habituellement des dizaines de milliers de ces objets avec des autorisations spécifiques et uniques qui déterminent quels groupes et utilisateurs peuvent y accéder, et les organisations stockent désormais des milliers de téraoctets. En outre, toutes les relations entre les utilisateurs et les groupes doivent être analysées. Pire encore, chaque application met en oeuvre les mécanismes d'autorisation de manière différente.
La compréhension de l'utilisation n'est pas plus simple. Certaines applications et certains systèmes ne suivent même pas l'utilisation des données, par défaut. Un grand nombre de ceux qui le font sont bruyants ou incomplets. Ils sont volumineux, tous différents et aucun ne propose beaucoup de contexte (s'il en existe) sur l'importance des données ou les personnes qui y accèdent. Sans comprendre l'utilisation normale, le repérage d'une utilisation anormale ne suffit pas pour démarrer.
Ces complexités font mouche lorsqu'une entreprise se trouve au coeur de la bataille contre les ransomwares ou qu'elle s'inquiète des dommages qu'un intrus pourrait provoquer.
Si nous ne pouvons pas savoir instantanément ce qu'un utilisateur compromis a pu prendre - ou a pris - dans les applications et les fichiers sur site ou sur le Cloud, nous sommes déjà dangereusement en retard.
Lorsque l'organisation affine ses pratiques de protection des données, elle doit s'assurer qu'elle peut répondre aux trois questions, quel que soit l'endroit où elle stocke ses données. Grâce à la compréhension de l'importance, de l'accessibilité et de l'utilisation, l'entreprise pourra transformer sa sécurité afin de prospérer dans un monde numériquement transformé.
Yaki Faitelson, PDG - Varonis.
Sur le même thème
Voir tous les articles Cybersécurité