Depuis la nuit des temps – ou du moins depuis l'ère de l'information – la gestion et la protection des données ont toujours été un défi. Aujourd'hui plus que jamais, face à l'explosion du volume de données et à la diversité des types de stockage, la difficulté est d'autant plus grande. Les organisations stockent des informations sensibles dans différents formats, sur différents entrepôts de données et de différentes manières. Sans pouvoir les identifier, les cartographier et les gérer, catalogue Étant donné que les informations personnelles et sensibles se trouvent dans l'ensemble des bases de données d'une organisation, il est impossible de prendre des mesures pour protéger ces données, qui sont les joyaux de la couronne d'une organisation.
Le type de données le plus souvent ciblé par les violations sont les données personnelles : au cours des six premiers mois de 2019 seulement, il y a eu plus de 4,1 milliards d'enregistrements compromis suite à des violations de données – et ce n’est que le début publiquement violations signalées. Ce chiffre ne prend même pas en compte les fuites de données. Le stockage cloud, comme Amazon S3 Les buckets et les fichiers surexposés sont notoirement vulnérables aux compromissions : qu'il s'agisse d'une université publique avec des numéros de sécurité sociale d'étudiants dans un fichier texte, ou d'un comité national avec des dossiers d'électeurs et des informations personnelles dans un stockage ouvert.
La majorité des données sensibles résident dans données non structurées – documents texte, feuilles de calcul Excel, e-mails, fichiers PDF et fichiers image qui stockent d’innombrables volumes de données personnelles, clients et commerciales.
Parallèlement, de nouvelles réglementations en matière de confidentialité et de protection des données, comme la Loi californienne sur la protection de la vie privée des consommateurs (CCPA) introduisent des sanctions supplémentaires et une responsabilité juridique potentielle en cas de violation de données, tout en élargissant la définition des données qui doivent être protégées.
Les organisations de toutes tailles (et de tous secteurs) ont besoin d’une politique de sécurité solide centrée sur les données : commencez par ces six étapes clés pour sécuriser les données sensibles et personnelles.
Étape 1 : Connaissez vos données
Afin de protéger l'intégralité des données de votre organisation, vous devez connaître vos données : où elles se trouvent, à qui appartiennent-elles et quelles données sont vulnérables.
Les solutions de sécurité des données traditionnelles sont souvent conçues spécifiquement pour un type de stockage de données ou un autre : il peut être difficile de gérer, de surveiller et de protéger les données dans un environnement hybride.
Les outils ponctuels sont cloisonnés et offrent rarement une vue complète des données d'une organisation : ils peuvent se concentrer sur des données non structurées dans des environnements locaux spécifiques, sur des types spécifiques de données non structurées stockées dans le cloud, ou se concentrer uniquement sur des données non structurées, ce qui laisse les organisations incapables de créer une image complète des données qui combine des informations et une cartographie sur des données non structurées, semi-structurées et structurées pour des identités individuelles, des types de classification ou une analyse basée sur des entités.
Les solutions de confidentialité et de sécurité des données doivent pouvoir couvrir les environnements sur site, cloud et hybrides. Les organisations doivent pouvoir détecter et identifier automatiquement les données sensibles dans toute l'entreprise, quel que soit leur lieu de stockage.
Les techniques d’apprentissage automatique telles que l’analyse de clusters constituent un moyen réactif et évolutif d’obtenir un aperçu des données non structurées, en analysant et en inventoriant automatiquement de grands volumes de données non structurées pour identifier les données sensibles et réglementées.
Découverte intelligente de données c'est la première étape de la protection des données d'entreprise : vous ne pouvez protéger que ce que vous pouvez voir.
Étape 2 : classez vos données
Classez vos données Pour piloter efficacement les politiques et leur application. Les données non structurées, semi-structurées et structurées doivent être classées pour une meilleure gestion, protection et traitement des données.
Les définitions de ce qui constitue des informations personnelles et sensibles – ou différents types d’informations réglementées – s’élargissent : elles ne sont plus exclusivement basées sur des expressions régulières, mais plus souvent (comme nous le voyons avec le CCPA) basées sur l’identité.
Cela signifie être capable de identifier et classer automatiquement tous les types d'informations sensibles en fonction du contenu et de la structure des données – informations personnelles (IP), informations personnellement identifiables (IPI) et données sensibles – sans être limité à un classificateur spécifique.
Les organisations devraient pouvoir classer automatiquement les données par personne, type, catégorie, attribut, etc. : des noms aux activités politiques en passant par les données géographiques ; des données réglementées comme les dossiers médicaux aux états financiers en passant par les documents juridiques ; des attributs de sécurité comme les mots de passe aux clés de produit en passant par les clés privées cryptées.
Une fois que vous êtes en mesure d'identifier et de découvrir toutes vos données, vous pouvez appliquer des étiquettes, étiqueter les types de données et les enrichir avec un contexte supplémentaire pour mieux automatiser la gestion et la sécurité des données.
Étape 3 : Corrélez vos données
Les données sans contexte sont dangereuses : il est essentiel d'établir et de cartographier les relations entre les données afin non seulement de comprendre quelles données vous possédez, mais également de pouvoir mettre en œuvre des politiques pour les protéger. La corrélation crée un contexte autour des ensembles de données et des relations afin que les organisations soient mieux en mesure de comprendre quelles données sensibles elles possèdent, où elles se trouvent et comment les protéger.
En privilégiant la corrélation, les organisations peuvent découvrir des données obscures qui sont autrement vulnérables à la compromission – et relier ces données sombres à des identités, entités ou autres ensembles de données sensibles spécifiques.
L’application de l’apprentissage automatique et de la reconnaissance d’entités neuronales (NER) permet d’obtenir une meilleure compréhension de l’intelligence des données : les solutions de protection des données doivent être capables d’interpréter automatiquement les données afin de créer des informations approfondies sur les données.
Étape 4 : Identifier et gérer les risques
Un facteur clé de toute approche de sécurité est l'identification, la gestion et la réduction des risques. Les RSSI et les équipes de sécurité sont désormais soumis à une surveillance accrue pour minimiser les risques et protéger les données sensibles, en commençant par la visibilité et couverture des données à risque.
Les organisations doivent s'aligner sur la confidentialité afin de minimiser les risques, en exploitant des données et des analyses avancées. Établissez des politiques de circulation et de conformité des données afin de surveiller les transferts, les utilisations abusives et les violations des politiques, et ainsi mieux appliquer les politiques de sécurité et les bonnes pratiques.
Informations sur l'intelligence d'accès Offrir une meilleure visibilité sur les données à risque : les groupes d'accès globaux représentent l'une des plus grandes vulnérabilités des données non structurées. En identifiant les données surexposées, les organisations peuvent facilement identifier les sources de données à haut risque et les enregistrements particulièrement vulnérables, avec des informations prioritaires sur les points à réduire.
La modélisation des risques peut aider les organisations à comprendre et à comparer les risques liés aux données en fonction de la sensibilité des données, de leur résidence, de leur sécurité et de l'accès aux applications. Elle doit être personnalisable en fonction du secteur d'activité, du type de données et du profil de l'entreprise de l'organisation.
Afin de gérer et de réduire les risques de manière adéquate, les organisations doivent adopter une approche centrée sur la confidentialité en matière de protection des données, en suivant les principes de la confidentialité dès la conception, en obtenant une visibilité à 360º des données à risque et en gérant un inventaire unifié des données sensibles dans toute l'entreprise.
Étape 5 : Réponse aux violations et enquêtes
Les violations de données ne sont plus une question de « si », mais de « quand ».
Le facteur le plus important est la capacité des organisations à réagir aux violations : comment atténuer les conséquences, déterminer l’impact, informer les personnes concernées et simplifier les enquêtes.
Les organisations peuvent minimiser l’impact d’une violation en étant capables de déterminer rapidement et précisément quelles données – et à qui – ont été compromises.
Étape 6 : Tirez le meilleur parti des investissements en sécurité
Lorsque vous commencez par une découverte intelligente, une classification de nouvelle génération et une visibilité complète sur vos données les plus sensibles, vous pouvez tirer le meilleur parti des investissements de sécurité existants et futurs, de l'application DLP aux intégrations GRC.
Simplifiez l'orchestration et l'application de la sécurité en intégrant votre politique de sécurité aux outils DRM, DLP, de chiffrement, de balisage et autres outils ponctuels, le tout avec une base fondamentale pour comprendre quelles sont vos données sensibles, où elles se trouvent et quel type de politiques de sécurité doivent être appliquées à des catégories spécifiques de données.
Étiquetez et étiquetez automatiquement les fichiers en fonction de la classification existante pour faciliter la gouvernance et la gestion de la rétention – et aligner les étiquettes avec les flux de travail automatisés pour une protection avancée des données et une gestion du cycle de vie.
Conclusion : Commencez avec BigID pour protéger vos données non structurées
BigID est la première solution de protection des données à adopter une approche basée sur la confidentialité pour protéger les données sensibles. BigID détecte, cartographie et classe les données sensibles à grande échelle, au sein de l'infrastructure et des opérations mondiales d'une organisation, soutenant ainsi des programmes de sécurité, de confidentialité et de gouvernance centrés sur les données.
Prêt pour l'entreprise et spécialement conçu pour gérer le volume et l'étendue des données d'aujourd'hui, BigID prend en charge une évolutivité et des performances agiles et réactives, avec couverture de données non structurées inégalée y compris CIFS/SMB ; NFS ; AWS; Azure ; Box ; Google Drive ; Gmail ; Office 365 (OneDrive) ; SharePoint ; et Exchange.
Bénéficiez d'une large couverture non structurée en contexte avec d'autres types de données dans les centres de données et dans le cloud, et intégrez de manière transparente les informations sur l'intelligence des données dans un seul volet.
BigID permet aux organisations d'obtenir une visibilité et une couverture complète des données sensibles et à haut risque, de découvrir les données sombres, de gérer les risques, d'automatiser et d'appliquer la politique de sécurité et d'aligner une approche de sécurité par conception avec une sécurité centrée sur la confidentialité.
Pour en savoir plus, rendez-vous sur www.bigid.com/demo – ou télécharger 6 étapes pour protéger les données d'entreprise : le livre blanc.
Auteur
