La protection des données : une nécessité mondiale

0

Les organisations qui veulent survivre et se développer au XXIe siècle doivent, selon affirme Alan Kessler, CEO de Thales e-Security, « exploiter tous les atouts à leur disposition : talents, stratégies et bien sûr technologies au meilleur niveau » . Ces technologies contribuent en effet à accélérer les transactions commerciales, à en renforcer la transparence et l’efficacité. « Le Big Data, le cloud computing, les objets connectés, la robotique, les bots et autres formes d’intelligence artificielle sont autant de solutions que votre organisation envisage ou étudie probablement, si elle ne les a pas déjà adoptées », assure Kessler.

Nous vivons dans un monde où coexistent logiciels malveillantsransomwares, spear phishing, menaces internes, attaques informatiques visant des infrastructures nationales, APT, injections SQL et ingénierie sociale. Or, ces technologies floutent ou abolissent le périmètre traditionnel des entreprises, créant des brèches propices aux cyberattaques. Mais, « À qui profite le crime ? » On peut pas répondre facilement a ce question, cependant , les CXO (Chief eXperience Officer) qui privilégient une protection des données de bout en bout devient, selon Kessler, favoriser l’adoption de nouvelles technologies et de nouvelles approches commerciales, tout en assurant la promotion de la sécurisation des opérations existantes.

Tout d’abord, quel que soit leur lieu de stockage et quelle qu’en soit l’utilisation, il est absolument vital que les CXO s’appuient sur un plan détaillé pour protéger les données sensibles car face à l’évolution vertigineuse des menaces, même les systèmes les plus éprouvés ne peuvent garantir la sécurité totale des données.

Pour bien protéger ses entreprises, les CXO doivent, selon Thales Group, aller au-delà de ces exigences de mise en conformité et considérer la nécessité de sécuriser les données en tous points, à leur création, pendant leur transmission ou leur utilisation. Le plan de bout en bout doit s’articuler en plusieurs étapes et faire spéciale attention à la sécurisation des identités, des communications – pour veiller à ce que les données ne soient pas exposées ou altérées pendant leur transmission, le stockage sécurisé des informations – pour en contrôler strictement l’accès, et l’utilisation sécurisée des données, réservée aux utilisateurs ou applications autorisés.

3896148_orig

Bien évidemment, ces services de sécurité reposent sur un ensemble de technologies de soutien : chiffrement, gestion de clés, contrôle des accès et signatures électroniques. Si vous n’avez jamais eu recours à ces services, vous y mettre peut s’avérer intimidant. Voici quelques pistes partagés par Kessler pour bien commencer :

  • respecter les exigences minimum de mise en conformité
  • déterminer quelles sont les données les plus sensibles dans votre entreprise, et où elles sont envoyées, utilisées et stockées
  • sécuriser les données stockées et utilisées sur les systèmes « back-end », principales cibles des voleurs de données
  • tenir compte des menaces qui pèsent sur les applications en renforçant les systèmes de sécurité au fur et à mesure de l’évolution de ces applications, en réexaminant la posture de votre organisation en matière de sécurité à chaque mise à jour des applications (ajout de fonctionnalités)
  • pour tout nouveau projet, définir dès sa conception les mesures de sécurité adaptées. Il est tentant de chercher en priorité à raccourcir les délais de commercialisation, mais il est moins coûteux et plus facile de sécuriser les données en amont.

À noter : Une stratégie centrée sur les données, à la fois réfléchie et analytique, vous mènera loin.

Comment protéger vos données dans le cloud ?

Nous vivons une époque de changement et de croissance technologique sans précédent dans laquelle, bien que les défis que nous devons relever soient immenses, il y a aussi largement de quoi nous réjouir. Le Cloud est un exemple : Gartner estime que les recettes des deux premiers fournisseurs de cloud (AWS et Azure) dépassent les 14 milliards de dollars. Selon ses estimations, d’ici 2018, 50 % des applications du cloud public seront critiques. L’une des grandes préoccupations du passage au Cloud porte sur la sécurité des données de votre organisation.

fotolia_vert_910

Les pirates informatiques peuvent pénétrer dans les serveurs sécurisés de grandes entreprises pour voler toutes sortes de données d’utilisateurs, y compris des identifiants de comptes et des mots de passe. Demandez à Evernote, Yahoo ou Dropbox.

En effet, avec le cloud vous ne maîtrisez plus entièrement vos applications et vos données, ce qui constitue une configuration critique – puisqu’on ne peut sécuriser totalement des données et des applications dont on ne contrôle pas pleinement l’accès et la sécurité. Il est possible aussi de protéger les données stockées dans le cloud par des clés de chiffrement et un contrôle des accès mais, qui contrôle les clés de chiffrement et les politiques d’accès ? En pratique, ce devrait être le propriétaire des données. En contrôlant les clés, les organisations peuvent contrôler l’accès à leurs données cryptées – jusqu’à en interdire l’accès au prestataire de services cloud.

Aujourd’hui, les principaux fournisseurs de cloud reconnaissent la nécessité pour les organisations de contrôler leurs clés.

Thales offre un soutien explicite qui permet un contrôle local des données dans le cloud par BYOK, mais aussi un chiffrement et un contrôle d’accès classiques via IaaS (Infrastructure as a Service), SaaS (Software as a Service) et PaaS (Platform as a Service).

Concernant les modèles IaaS et PaaS, citons par exemple les services de gestion de clés AWS d’Amazon et la plateforme similaire Microsoft Azure, qui utilisent les offres Thales e-Security et une solution entièrement contrôlée par l’entreprise fondée sur la gamme de produits Vormetric. Mais s’agissant des BYOK, le modèle le plus fascinant est le système SaaS, avec lequel les entreprises n’avaient auparavant aucun contrôle sur leurs données. Salesforce offre en effet la possibilité de garder le contrôle sur les clés qui chiffrent leurs données au sein de l’application en conservant ces clés dans leurs environnements locaux et en supprimant tout accès par Salesforce.

 

About Author

Globb Security France

Leave A Reply