Vos data sont précieuses : ne faites plus l’impasse sur la sécurité des données !

À l’heure du Big Data, la sécurité des données informatiques des entreprises cristallise nombre d’enjeux. À mesure que la quantité d’informations en circulation à travers le monde croît, les attaques des hackers en tout genre se multiplient et se complexifient. Il faut dire que ce précieux trésor peut se monnayer très cher sur le marché noir !

Heureusement, ce triste constat n’est pas une fatalité ! Les responsables informatiques et DSI le savent : il existe des moyens pour prévenir avant de guérir, en déployant une architecture, des processus et des logiciels capables de barrer la route aux pirates, mais également de diminuer les erreurs humaines.

Alors c’est quoi la protection des données ? Comment instaurer une politique de sécurité des données solide ? Réponses dans cet article. 👉

Commençons par le début. De quoi parle-t-on lorsque l’on évoque la question de la sécurité des données ?

La sécurité des données se définit comme l’ensemble de la stratégie et des dispositifs mis en place par l’entreprise pour protéger ses informations personnelles et celles de ses clients.

Si de tels processus existent, c’est parce que de nos jours, la data revêt une importance capitale. Dans un contexte de mondialisation, il en circule une quantité monumentale chaque jour, qu’il s’agisse de données personnelles, administratives, bancaires, etc. D’ailleurs, selon Statista, ce volume sera multiplié par 3,7 entre 2020 et 2025.

Et bien sûr les entreprises ne sont pas en reste. Elles manipulent quotidiennement une multitude d’informations pour mener à bien leurs opérations et faire prospérer leur business. D’autant plus que cette vision data centric devient gage d’un avantage concurrentiel indéniable et d’une meilleure adéquation avec les exigences du marché ainsi que les besoins des consommateurs.

Mais en parallèle, les organisations sont particulièrement exposées à des pratiques peu scrupuleuses de la part des hackers, comme le vol ou la violation des données, possibles grâce à des procédés tels que :

• le phishing, ou hameçonnage,
• les ransomwares,
• l’introduction de divers malwares dans leur SI,
• l’attaque man in the middle, etc.

Au-delà du vol, il peut s’agir également d’accès non autorisés pour consultation de ces data, ou encore de leur corruption.

💡 En somme, veiller à la sécurité des données, c’est garantir :

• leur confidentialité,
• leur intégrité,
• leur disponibilité.

Développement du cloud computing et des modèles hybrides, boom des applications SaaS, Internet des Objets… les environnements informatiques des sociétés se sont fortement complexifiés ces dernières années. À cela s’ajoute le télétravail qui éparpille encore davantage les données.

Conséquence : la data s’en trouve fragmentée sur plusieurs systèmes et le périmètre à surveiller pour les DSI est bien plus étendu qu’auparavant.

Ces dernières sont donc tenues :

• d’adopter des tactiques et des dispositifs qui promettent une surveillance globale et continue des infrastructures informatiques, au-delà du seul réseau de l’entreprise ;
• de s’assurer de la fiabilité des fournisseurs tiers.

Ces coûts peuvent être liés à divers facteurs, tels que :

• la perte des précieuses bases de données clients, destinées à être revendues à des concurrents par exemple ;
• la frilosité de potentiels investisseurs, tentés de revoir leur offre à la baisse en cas d’incidents ;
• les diverses amendes qui peuvent toucher les entreprises si elles ne s’alignent pas sur les réglementations en vigueur (RGPD notamment).

☝️Toujours selon Ponemon, le domaine de la santé paie le plus lourd tribut (355 dollars par fichier volé contre 158 en moyenne dans les autres secteurs).

Le client d’aujourd’hui se montre bien plus sensible à la question de la sécurité des données personnelles. S’il apprend que vous avez subi une fuite ou un vol d’informations, c’est la crédibilité de votre marque qui en prend un coup.

Secret des affaires, brevets, informations relatives à la recherche et développement… N’oublions pas que tous les actifs immatériels qui forment la propriété intellectuelle d’une entreprise constituent également des cibles très sensibles, que les hackers revendent à prix d’or sur le marché.

Adopter une solide stratégie de protection des données, c’est aussi préserver ce capital fructueux pour les organisations (surtout pour les plus innovantes), parfois le seul dont elles disposent en phase de démarrage de l’activité !

Enfin, impossible de faire l’impasse sur les nombreuses lois visant à protéger les informations personnelles des individus (HIPAA, norme PCI-DSS, etc.).

En tant qu’Européens, on pense évidemment au RGPD. Et pour cause, en cas de violation des données, la peine encourue peut s’élever jusqu’à 4 % de votre chiffre d’affaires annuel !

En parallèle, ce règlement impose d’autres exigences, notamment :

• la possibilité pour les consommateurs de contrôler leurs informations personnelles ;
• leur octroyer le droit à l’oubli et à la portabilité des données.

Toutes ces contraintes impliquent alors une sécurisation des data de tous les instants, mais également l’instauration d’un processus de gouvernance des données.

Il existe une multitude de bonnes pratiques à observer afin de garantir la sécurité des données de votre entreprise. Passons en revue les principales.

La PSSI, ou Politique de Sécurité des Systèmes d’Information, se définit comme le document formalisant la stratégie et les objectifs de l’entreprise en matière de protection du SI, ainsi que le plan d’action à suivre.

Qu’importe la structure et la taille de votre société, une telle démarche garantit :

• l’obtention d’une vision globale des risques propres à votre organisation,
• la compréhension des enjeux de sécurité par tous les acteurs et le respect des règles à adopter.

Comme nous l’avons vu, les entreprises composent désormais avec une quantité très importante de data. Or, toutes ne revêtent pas la même importance.

Il convient donc, dans un premier temps, d’identifier le type de données et les systèmes les plus sensibles, de les classifier, car c’est sur eux que vous devez concentrer en priorité vos efforts.

Pour ce faire, demandez-vous quel serait l’impact sur vos activités en cas de consultation, de modification ou de vol de telles ou telles informations.

💡 Pour vous aider, voici un tableau directement inspiré de celui de l’ANSSI relatif au vol des données personnelles :

Une fois la stratégie parfaitement opérationnelle pour une source de données précise, les responsables informatiques pourront ensuite la déployer pour le reste des actifs numériques de l’organisation.

Une brèche au niveau des mots de passe de l’entreprise s’avère bien souvent une porte d’entrée royale vers ses données. La solution ? Mettre en place une politique de mot de passe robuste.

Cette dernière repose bien évidemment sur le choix de mots de passe suffisamment complexes (notamment pour vous prémunir des attaques par force brute), leur renouvellement régulier ou encore la double authentification.

En parallèle, tous les collaborateurs sont tenus de suivre cette stratégie. Ils doivent parfaitement comprendre la portée de leurs actions ainsi que la démarche à suivre, d’où l’intérêt d’un profond travail de sensibilisation.

À côté de ça, effectuez des audits réguliers pour déceler les potentiels failles de sécurité et comportements à risque.

💡 Découvrez les conseils de l’ANSSI pour gérer efficacement vos mots de passe.

Toujours dans cette optique de protéger les accès aux informations de la société, les experts recommandent de plus en plus l’adoption d’une approche Zero Trust.

Ce modèle implique de « ne jamais faire confiance », ou plus précisément de toujours vérifier l’identité de la personne qui tente de parvenir aux systèmes et ressources informatiques de l’entreprise.

Il repose en grande partie sur le principe du moindre privilège : octroyez à l’utilisateur le niveau d’accès nécessaire pour effectuer correctement son travail… et pas plus !

Protéger les accès, c’est bien. Mais les informations sont faites pour circuler !

Le chiffrement des données devient alors indispensable pour protéger les data stratégiques, sur site ou dans le cloud, en les rendant invisibles aux yeux des pirates informatiques.

Ce chiffrement, qu’il soit symétrique (cryptage AES, blowfish, etc.) ou asymétrique (RSA, DSA, etc.), doit à la fois :

• garantir une sécurité optimale,
• tout en permettant aux utilisateurs d’effectuer sans encombre leurs tâches quotidiennes au moyen d’une clé de chiffrement simple à gérer.

Embrasser une approche globale de sécurité des données, c’est offrir une protection adéquate, en fonction du degré de criticité, à toutes les composantes du système informatique de l’entreprise :

• sécurisation des postes de travail : installation de pare-feu, mises à jour des antivirus, verrouillage automatique des sessions, etc.,
• sécurisation des supports mobiles (smartphones, tablettes) : synchronisation et chiffrement des données, etc.,
• sécurisation du réseau interne : sécurisation du Wi-Fi, mise en place de VPN dans le cadre du travail à distance, etc.,
• sécurisation des applications : vérification de leur fiabilité, mises à jour de sécurité régulières, etc.,
• sécurisation du développement informatique : utilisation d’un environnement autre que celui de la production pour les phases de tests, etc.

☝️ À l’heure de la dématérialisation, n’omettez pas la partie physique de votre architecture informatique. Autrement dit, que vos data soient stockées sur un serveur interne ou encore dans un cloud public, assurez-vous que tous les appareils soient préservés des risques possibles : le piratage informatique bien entendu, mais aussi les aléas naturels (inondations, incendies, etc.).

Une bonne gouvernance des données passe aussi par la suppression des informations inutiles et obsolètes venant parasiter la bonne gestion de votre SI.

Par ailleurs, le RGPD intervient également en la matière, en vertu du droit à l’effacement.

C’est pourquoi il vous faut parfaitement tracer et encadrer la destruction des data, au moyen d’une procédure claire et éprouvée.

Qu’il s’agisse d’un sinistre ou d’un vol, les données disparues doivent absolument être récupérées au plus vite.

On vous recommande alors d’effectuer des sauvegardes régulières, incrémentales ou différentielles, afin de ne pas dire « adieu » à toutes vos ressources en cas de problème. Idéalement, offrez à toutes les data sauvegardées un niveau de protection équivalent à celui des informations stockées sur le serveur d’exploitation.

Bien sûr, lorsqu’un incident survient, il est préférable de ne pas faire subir à votre service une rupture néfaste pour votre chiffre d’affaires. Mettez donc en place un plan de continuité ou de reprise d’activité. Grâce à l’élaboration préalable de différents scénarios, vous connaissez la marche à suivre, les ressources à mobiliser ainsi que les délais escomptés pour rebondir au plus vite.

Bien entendu, l’efficacité de votre politique de protection des données induit la réalisation de contrôles réguliers, destinés à :

• détecter les failles de sécurité dans votre architecture informatique et dans votre base de données (contrôles d’évaluation) ;
• déceler rapidement les menaces et les comportements à risque des collaborateurs, pour agir dans la foulée (contrôles de détection) ;
• bloquer les accès non autorisés aux informations (contrôles préventifs).

☝️Toute activité qui intervient dans votre SI doit être tracée et enregistrée, à des fins d’audits.

Enfin, on ne le dira jamais assez, mais le facteur humain reste indéniablement la plus grande vulnérabilité de votre système informatique.

Souvent par ignorance, les collaborateurs sont amenés à agir dangereusement, que ce soit au niveau :

• de la gestion de leurs mots de passe,
• de leurs pratiques dans le cadre du BYOD,
• de leur comportement vis-à-vis des tentatives de piratages, en particulier le hameçonnage.

La solution ? Former et sensibiliser vos équipes à la question de la sécurité des données. Par exemple, il est possible de réaliser de fausses campagnes de phishing pour observer les agissements des salariés puis déployer les mesures nécessaires.

💡 Pour aller encore plus loin dans la sécurité de vos données et renforcer votre cyber-résilience, découvrez 5 façons de protéger et récupérer vos informations, dans ce Livre Blanc offert par Cohesity.

Au regard des différents conseils promulgués ci-dessus, on comprend vite qu’il existe un panel très étendu de solutions développées pour vous épauler dans votre stratégie.

Citons par exemple :

• les outils de gestion et de classification de la donnée, destinés notamment à identifier plus simplement la data sensible,
• les logiciels de sauvegarde et de récupération des informations,
• les divers antivirus,
• les gestionnaires de mots de passe,
• les SIEM (Security Information and Event Management) afin d’analyser les risques et détecter les menaces,
• les IDS (Intrusion Detection System) et IPS (Intrusion Detection System) qui surveillent votre réseau, vos systèmes et vos applications en vue de repérer les comportements malveillants,
• les IAM (Identity and Access Management Platform) pour veiller à ce que seuls les utilisateurs autorisés accèdent à telles ou telles données.

Et la liste est encore longue…

Heureusement, il existe des plateformes complètes de gestion et de sécurisation des données, à l’image de Cohesity Data Cloud. Disponible en logiciel autogéré (sur cloud public ou sur plateformes certifiées) ou en mode SaaS, Cohesity s’adapte parfaitement à votre architecture, que vous évoluiez dans un environnement hybride ou encore multi-cloud. Son point fort ? Offrir une protection globale à vos data au sein d’une seule et même solution :

• sauvegarde et restauration,
• détection des anomalies,
• stockage sécurisé,
• gestion unifiée des données (recherche, classification et indexation).

Le tout au moyen d’un outil qui garantit la haute disponibilité des données ainsi qu’une parfaite sécurité (chiffrement, immuabilité, etc.).

Au regard des importants enjeux économiques, juridiques ou encore de propriété intellectuelle, le constat est sans appel : les entreprises ne peuvent plus faire l’impasse sur la protection des données. Pourtant, les chiffres prouvent chaque année à quel point nombre d’organisations restent vulnérables, faute d’une véritable politique de sécurité informatique.

La sécurisation des data repose sur de nombreux piliers, qu’ils soient techniques ou humains. Elle implique d’adopter une approche holistique, puisque la menace survient de partout, et à tout moment. Mais comme nos DSI ne peuvent pas être au four et au moulin, ils ont la possibilité de compter sur des solutions logicielles pour mener à bien cette tâche ardue.

De plus, de nombreuses technologies viennent aujourd’hui renforcer ces outils, à l’image de l’IA ou encore de l’informatique quantique. Une aubaine pour les entreprises, et un vrai bouclier contre les pirates !