Skip to content
Voir tous les articles

Contrôle CIS 3 pour la protection des données

Le CIS (Center for Internet Security) — qui se compose de plusieurs experts du secteur et de dirigeants d'agences gouvernementales — dispose d'un ensemble de 18 directives universelles et indépendantes du secteur, ou « contrôles de sécurité critiques » que les organisations doivent mettre en œuvre, maintenir et appliquer pour la cyberdéfense.

Cet article concerne le contrôle CIS 3, l’un des six principaux contrôles que le CIS considère comme un « contrôle de base ».

Protection des données vs. cryptage des données

Les données d’entreprise ne se limitent plus aux environnements physiques, mais existent sur site, dans le cloud et dans des environnements hybrides — et est souvent partagé avec des partenaires ou des services en ligne tiers. Informations personnelles et sensibles comme les données clients, les données financières, les données de santé, la propriété intellectuelle, etc. sont fortement réglementées par lois sur la confidentialité et la protection et les normes.

Protection des données Cela ne signifie pas seulement le chiffrement des données. Pour se conformer aux normes de protection et de confidentialité, les organisations doivent aller au-delà des méthodes traditionnelles de cybersécurité et se concentrer sur la collecte, l'utilisation et l'utilisation appropriées des données. gestion, rétention, et plus encore. Ils doivent gérer correctement les données tout au long de leur cycle de vie.

CIS Control 3 Mesures de sécurité

  1. Établir et maintenir un processus de gestion des données
    — Fonction de sécurité : Identifier
    Ces processus doivent aborder les niveaux de sensibilité des données, à qui appartiennent les données, limites de conservation des données, et l'élimination des données pour une organisation en fonction de leur sensibilité.
  2. Établir et maintenir un inventaire de données
    — Fonction de sécurité : Identifier
    La priorité de l’inventaire doit être les données sensibles.
  3. Configurer les listes de contrôle d'accès aux données
    — Fonction de sécurité : Protéger
    Assurez-vous que chaque utilisateur dispose les autorisations d'accès pour les systèmes, les bases de données et les applications dont ils ont besoin pour faire leur travail — et rien de plus.
  4. Appliquer la conservation des données
    — Fonction de sécurité : Protéger
    Définissez et appliquez la conservation pour les durées minimales et maximales.
  5. Éliminer les données en toute sécurité
    — Fonction de sécurité : Protéger
    Définir et appliquer l’élimination des données en fonction du niveau de sensibilité.
  6. Crypter les données sur les appareils des utilisateurs finaux
    — Fonction de sécurité : Protéger
    Atténuez les risques de perte de données sur les appareils volés ou compromis en chiffrant les données.
  7. Établir et maintenir un système de classification des données
    — Fonction de sécurité : Identifier
    Définir et maintenir un cadre de classification basé sur la sensibilité, classifying data according to labels qui sont pertinentes pour l'entreprise. Le CIS recommande par exemple « confidentiel », « sensible » et « public ».
  8. Flux de données documentaires
    — Fonction de sécurité : Identifier
    Cartographiez la manière dont les données circulent dans une organisation pour mieux les protéger.
  9. Crypter les données sur un support amovible
    — Fonction de sécurité : Protéger
    Les supports amovibles présentent un risque plus élevé de perte de données en cas de vol ou de compromission.
  10. Crypter les données sensibles en transit
    — Fonction de sécurité : Protéger
    Chiffrez les données en transit et assurez-vous que le chiffrement est correctement authentifié.
  11. Crypter les données sensibles au repos
    — Fonction de sécurité : Protéger
    Au minimum, utilisez un cryptage côté serveur et ajoutez en plus un cryptage côté client.
  12. Traitement et stockage des données segmentées en fonction de la sensibilité
    — Fonction de sécurité : Protéger
    Assurez-vous que les données ne sont traitées et stockées qu'en fonction de leur niveau de sensibilité
  13. Déployer une solution de prévention des pertes de données
    — Fonction de sécurité : Protéger
    Protégez-vous contre la perte de données en utilisant des outils automatisés tels qu'un outil DLP (prévention de la perte de données) basé sur l'hôte.
  14. Enregistrer l'accès aux données sensibles
    — Fonction de sécurité : Détecter
    Conservez des enregistrements des accès aux données sensibles pour simplifier la réponse aux incidents en cas de violation.

Composantes des contrôles CIS — et conformité

CIS Control 3 comporte des composants qui ont un impact direct sur la conformité réglementaire avec un certain nombre de réglementations en matière de protection et de confidentialité, y compris, mais sans s'y limiter :

Les organisations qui mettent en œuvre des contrôles CIS sont mieux placées pour se conformer à ces réglementations. Cadre de cybersécurité du NIST, qui fournit également des lignes directrices aux entreprises qui tentent de renforcer leur posture de sécurité, s'aligne également sur de nombreux composants du CIS CSC.

BigID, sécurité des données et contrôle CIS 3

Pour respecter les garanties du CIS Control 3, les entreprises doivent comprendre leurs données en fonction de leur sensibilité — et cette capacité n'est fournie qu'avec connaître vos données — permettant une visibilité complète des données personnelles, sensibles et critiques où qu'elles se trouvent, dans le cloud ou sur site.

Avec l'aide de BigID techniques de classification avancées et la couverture, les organisations peuvent créer un inventaire précis, complet et à jour de tous les actifs de données, où qu'ils se trouvent, dans le cloud ou sur site.

BigID identifie automatiquement les données inutilisées, dupliquées, similaires ou redondantes afin de réduire l'exposition indésirable et de minimiser les données. Avec des applications supplémentaires pour accéder au renseignement, conservation des données, correction des donnéeset registres des activités de traitement (RoPA), les organisations peuvent :

  • Détecter les données vulnérables, à haut risque et surexposées
  • Activez les politiques de conservation et les règles métier et appliquez-les de manière cohérente à tous les types et sources de données
  • Prioriser les efforts de correction pour identifier les données qui doivent être marquées pour suppression
  • Automatiser la génération de flux de données englobant les transferts de données

De plus, BigID permet aux équipes d'orchestrer les flux de travail afin que les bonnes personnes puissent agir efficacement sur les bonnes données. Prenez le contrôle et marquez les données pour le chiffrement, la correction, la suppression, etc. grâce à BigID et à son écosystème d'intégrations avec les outils de votre infrastructure technologique.

Découvrez-en plus sur la manière dont BigID aide les organisations à protéger leurs données conformément aux contrôles CIS. Planifiez une démo aujourd'hui.

Contenu