La dernière tendance de la sécurité informatique concerne la protection des données. Désormais, les données constituent les ressources les plus précieuses qu’un département informatique doit protéger, et la technologie a évolué pour satisfaire cet impératif
Les technologies de cryptage et les solutions de protection contre les fuites contribuent à renforcer le stockage de données des entreprises.
Toutefois, à mesure que les entreprises ajustent leurs stratégies de protection des données, elles deviennent la proie d’idées fausses quant à leur défense. Il est impératif pour les responsables de la sécurité qu’ils connaissent la vérité et développent un programme de protection des données bien équilibré.
Idée fausse n°1 : La menace extérieure pèse bien plus que la menace intérieure.
Les risques de fuite des données sont classés en deux catégories principales : la perte de données et leur vol. Les gros titres aujourd’hui se rapportent généralement à la première catégorie, le plus souvent du fait de données ayant disparues suite à la perte d’ordinateurs portables, de bandes de sauvegarde et de périphériques. Dans ce cas, seule la valeur du matériel fait l’objet d’un vol.
La fuite des données est plus dangereuse pour l’entreprise. Les individus malveillants cherchent des moyens d’accéder aux données et à les utiliser à leur avantage car ils connaissent leur valeur. Depuis l’extérieur, grâce à des programmes malveillants, ils installent des portes dérobées dans l’entreprise. A l’intérieur, il s’agit tout simplement de charger les données sur un périphérique externe pour l’emmener chez soi. Pour éviter toutes attaques, les entreprises ont mis en place une protection complexe et performante visant les attaques extérieures mais celles internes sont le plus souvent ignorées et laissent les entreprises vulnérables. Beaucoup n’ont aucune méthode de protection pour empêcher les salariés de charger des données sur des périphériques externes. Ce type de fuite représente le risque le plus dangereux car ces personnes ont accès aux informations clés de l’entreprise, en connaissent la valeur et ce qu’il faut en faire.
Si les entreprises veulent hiérarchiser la sécurité en fonction de la gravité du risque, elles doivent placer la protection contre les menaces internes en tête de liste. Elles doivent être en mesure d’auditer automatiquement ce processus de protection. Sans la visibilité de l’audit, les entreprises ne peuvent quantifier les risques que posent les fuites de données. Elles ne sauront pas si les données ont transité entre les postes de travail, desquelles il s’agissait, ni la quantité ayant subi une fuite. Pour être efficace, l’audit doit être intégré à la technologie de protection des données pour en tirer pleinement avantage.
Idée fausse n°2 : Les fuites de données constituent le seul aspect de la protection des données dont les entreprises doivent se soucier.
Les fuites de données ont un potentiel dévastateur. Même si elles ne tombent pas aux mains de personnes malintentionnées, c’est un événement pénible. La protection de leur confidentialité n’est qu’une facette de leur préservation. Deux composants jouent un rôle crucial : la protection de l’intégrité des données et la disponibilité.
Les capacités de surveillance du contenu et d’audit ont un rôle essentiel dans le processus de garantie de l’intégrité des données ce qui offre un contrôle des actions malveillantes en sachant où les données transitent et sont modifiées. La gestion des vulnérabilités, des correctifs logiciels et la sécurisation des configurations des postes de travail sont primordiaux pour garantir l’intégrité des données. En effet, les applications et machines non gérées permettent la propagation de programmes malveillants et d’enregistreurs de frappe susceptibles de compromettre l’intégrité et la disponibilité des données.
Idée fausse n°3 : La protection de la messagerie électronique évitera tous les problèmes potentiels de fuite de données.
La plupart des entreprises tiennent compte des avertissements concernant le risque lié aux fuites de données par mail. Les experts de la sécurité ont compris la brèche que représente la messagerie non surveillée si une personne interne décidait de transmettre des informations sensibles à l’extérieur. Ainsi, la plupart des entreprises ont comblé ce fossé avec des outils de filtrage et de surveillance de la messagerie.
La protection de la messagerie n’est pas le seul et unique moyen pour se protéger contre la fuite de données : les utilisateurs peuvent consulter des sites malveillants, provoquant l’installation de portes dérobées non détectées sur leur système. Pire, les utilisateurs sortent des informations confidentielles grâce à des périphériques. Ainsi, le colmatage des fuites de données ne s’arrête pas à la messagerie électronique.
Idée fausse n°4 : Les entreprises peuvent contrôler les fuites de données liées à des supports amovibles en interdisant ces derniers.
Lorsque les analystes ont averti des risques posés par les supports amovibles, des responsables informatiques ont créés des politiques interdisant l’usage des périphériques optiques et USB. Cette interdiction relève d’une mauvaise politique, car ces périphériques sont utiles et permettent de mieux accomplir les tâches. Cette interdiction entrave les activités au quotidien. Les entreprises doivent élaborer des politiques de sécurité qui interdisent uniquement le comportement risqué par lequel les supports amovibles représentent une menace et doivent recourir à une technologie suffisamment flexible pour mettre en vigueur ces politiques.
Idée fausse n°5 : Il suffit d’une technologie de filtrage du contenu et de cryptage pour protéger les données.
Le filtrage du contenu a amélioré la protection des données mais il comporte une lacune flagrante. La solution type de filtrage du contenu surveille l’activité du réseau ou de la messagerie électronique, mais une fois que les informations sont transférées sur la machine en local, elle ne surveille pas ce que l’utilisateur fait des données. Or, celui ayant des intentions malveillantes peut transférer des données sur la machine en local, puis les copier sur une clé USB sans que la solution de filtrage du contenu en avertisse les responsables de la sécurité.
De même, le cryptage a ses points faibles. La plupart des solutions de cryptage protègent les données en cas de vol ou de perte d’un ordinateur ou d’un périphérique. Le cryptage de ces périphériques empêche une personne extérieure d’accéder aux données qu’ils contiennent. Par contre, après avoir autorisé et saisit son mot de passe, l’utilisateur a un accès libre aux données. Le cryptage ne protège pas les informations sur les postes de travail après s’être authentifié.
Pour parvenir à une protection équilibrée, les entreprises doivent compléter le cryptage et le filtrage du contenu par une solution performante, capable de surveiller les utilisateurs et de mettre en vigueur les politiques de façon proactive sur les postes de travail. Ceux-ci sont devenus les nouvelles cibles pour obtenir un accès aux données, car bon nombre d’entreprises n’a pas de politiques applicables et elles ne peuvent quantifier leur exposition aux fuites de données. La gestion de l’usage des périphériques amovibles et des flux de données vers et depuis ces périphériques protège certes une entreprise contre le plus grand point de fuite des données, mais une stratégie complète de protection des données doit intégrer d’autres technologies afin de sécuriser les données mobiles et statiques.
|
