5 facteurs pour la sécurité des données

Secude présente ci-après des thèmes importants qui occuperont les entreprises dans les mois à venir, jusqu'à l'entrée en vigueur du nouveau règlement général de l'UE sur la protection des données (RGPD). Une gestion plus précise des droits d'utilisation pour les collaborateurs et les partenaires, la forte demande d'automatisation ainsi que les mécanismes d'échange de données entre les applications, qui complètent désormais le facteur humain par le facteur machine-to-machine, jouent un rôle essentiel. Il s'agit également de prendre en compte les systèmes prétendument sûrs, par exemple les systèmes ERP comme SAP, car c'est justement là que se produisent souvent des exportations de données incontrôlées - par l'homme et la machine. 

1. conformité - combler les lacunes de connaissances
La connaissance de l'utilisation et du stockage des données d'entreprise n'est plus une question de volontariat. Le nouveau RGPD oblige toutes les entreprises à avoir une vue d'ensemble de l'emplacement actuel, de l'utilisation et de la diffusion de leurs données sensibles et personnelles à travers toutes les applications de l'entreprise. A l'avenir, la documentation et la mise en œuvre des mesures de protection des données devront également être prouvées aux autorités de régulation. Pour de nombreuses entreprises, cela incite à utiliser des rapports de log, des solutions d'audit et d'analyse qui identifient les menaces ou les risques à partir des modèles de mouvement des données et du comportement des utilisateurs. Les systèmes dans lesquels sont conservées de nombreuses données importantes pour la sécurité - par exemple les systèmes ERP SAP - sont particulièrement concernés. En effet, bien que les informations au sein de tels systèmes soient relativement bien protégées, de nombreuses entreprises n'ont pas de vue d'ensemble sur le nombre de ces données qui sont exportées chaque jour et traitées ou transmises via des systèmes et des canaux moins protégés.

2. solutions de protection des données centrées sur les données
Les clients recherchent des solutions qui protègent leurs documents et leurs exportations de données dès leur création, avant même qu'ils ne quittent les infrastructures sécurisées. Vouloir sécuriser suffisamment tous les canaux et systèmes par lesquels des données importantes pour la sécurité pourraient être partagées et traitées ultérieurement - s'avère être une tâche de Sisyphe quasiment insurmontable. C'est pourquoi il est recommandé de classer les informations dès leur création afin de déterminer leur importance en matière de sécurité et les autorisations pour leur traitement ultérieur. "Dans notre monde commercial de plus en plus interconnecté, les informations ne peuvent plus être simplement conservées dans des systèmes d'entreprise sécurisés. Il est donc beaucoup plus judicieux de sécuriser les données elles-mêmes plutôt que de miser sur la sécurisation des lieux de stockage et des canaux de communication. Les solutions de protection des données réactives et contextuelles, comme le DLP, remplissent des fonctions de base importantes, mais ne suffisent pas", explique Volker Kyra, directeur général de Secude GmbH.

3. droits d'utilisation des données à caractère personnel
Toute personne qui traite des données à caractère personnel est tenue, au plus tard en vertu de la nouvelle directive européenne sur la protection des données, de se conformer à la législation européenne sur la protection des données.Règlement général sur la protection des données à partir de 2018. Cela concerne également la collaboration avec des partenaires et des personnes externes, et plus particulièrement les droits d'utilisation des données à caractère personnel et leur traitement. Il convient ici de faire la distinction entre les droits d'utilisation limités et les utilisateurs privilégiés, qui sont souvent insuffisamment gérés. Pour satisfaire aux exigences de la nouvelle législation et réussir les audits, les entreprises doivent donc vérifier précisément qui a le droit de consulter quelles données, de les exporter des systèmes et de les traiter ultérieurement. Un problème se pose alors : de nombreux systèmes dans lesquels sont conservées des données sensibles ne permettent qu'une attribution très approximative des droits. Soit une personne dispose de tous les droits d'utilisation pour certaines données, soit elle n'en a aucun. Des solutions granulaires sont alors nécessaires pour que les informations puissent être gérées conformément aux nouvelles législations, sans que les restrictions d'utilisation n'entravent les processus commerciaux importants.

4. facteur humain - automatisation
L'automatisation des activités liées à la sécurité, comme le patching des systèmes, est un sujet très discuté. Selon Capgemini, il est également considéré par les entreprises comme l'un des principaux sujets de sécurité, car jusqu'à 95 % de tous les dysfonctionnements liés à la sécurité sont dus à des erreurs humaines. Cela ne vaut pas seulement pour l'automatisation des correctifs de sécurité, mais aussi pour le domaine de la classification des données. Il s'agit ici de déterminer quelles informations sont particulièrement sensibles et donc soumises à des critères de sécurité plus stricts. Si l'on laisse cette classification aux employés, non seulement les erreurs de jugement sont fréquentes, mais le processus de classification ralentit aussi considérablement les opérations.

"Une classification contextuelle automatisée des données constituera donc un facteur clé pour la sécurité des données dans les années à venir", souligne Volker Kyra. "Un autre facteur est l'explosion du nombre d'applications dans le cadre de la numérisation, qui rend l'automatisation tout aussi impérative".

5. facteur machine - mécanismes d'échange de données entre applications
L'évolution conceptuelle rapide des architectures d'entreprise entraîne un changement de paradigme significatif en ce qui concerne l'intégration des applications et la distribution des données. La possibilité de surveiller les flux de données entre les applications devient donc un autre facteur décisif pour la sécurité des données. Désormais, ce ne sont pas seulement les collaborateurs qui échangent des données sensibles, mais aussi les applications elles-mêmes (machine-to-machine).

Le problème est le suivant : en raison de la complexité des environnements système actuels, qu'ils aient été développés de manière organique ou conçus de manière spécifique, il est pratiquement impossible pour les entreprises de prendre le contrôle de la communication de données logique en cours. Cela représente un défi majeur pour les responsables de la sécurité informatique et a un impact considérable sur les directives de conformité résultant des obligations réglementaires. Des solutions intelligentes sont donc nécessaires pour permettre la classification et le suivi des flux de données sensibles.

Source : Secude