En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
  • 30/01/2018
    3e édition du Congrès des DSI

    La troisième édition du Congrès des DSI se tiendra le 30 janvier prochain au Pré…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site eCommerce pour la vente de prêt-à-porter
    < 1 000 €
    > En savoir plus
  • Création d'un site eCommerce pour la vente de produits agricoles
    < 5 000 €
    > En savoir plus
  • Création d'un site e-commerce pour la vente de produits artisanaux
    A déterminer €
    > En savoir plus
Arcaneo_Congres DSI 2018_leaderboard

Les clés d’une stratégie de protection des données efficace

Tessi_Cetia_pave

Sylvain Castillon, Business Solution Manager chez DSA (Groupe Magellan Partners), expert sur le périmètre des identités, la sécurisation de l’accès aux services IT et l’authentification, donne ici ses conseils pour la sécurisation du patrimoine informationnel de l’entreprise.

La numérisation et l’explosion des nouveaux modes de consommation, facilités par une offre technologique soutenue, sont en train de révolutionner la valeur portée aux données des systèmes d’information. Les entreprises se transforment en conséquence afin d’être efficaces dans la consolidation et le traitement (instantané/prédictif) de ces données – qui sont devenues des facteurs de performance et de compétitivité -. La protection des données, ainsi que des outils qui les manipulent, constitue de fait un enjeu majeur de cette transformation face aux nouvelles menaces qui pèsent sur les entreprises.

L’utilisation des données : de facilitateur à nouvel eldorado, sujette à la réglementation et ciblée par la cybercriminalité

Notre monde évolue rapidement et présente de nombreux moyens de consommer des données qui sont désormais légions. La montée en puissance de l’Internet of Things (IoT) va probablement conforter cet état de fait. La consommation et le traitement des données par les technologies de l’information ne constituent plus un simple facilitateur pour les métiers des entreprises : il devient stratégique et générateur de valeur. Les instances – notamment européennes – s’organisent face à ces constats en essayant de cadrer la collecte, la conservation et le traitement de ces données. Un cadre règlementaire se définit donc petit à petit afin de prémunir toute dérive pouvant porter préjudice aux personnes et aux institutions. Dans le même temps, il ne se passe pas un jour sans qu’un nouveau cas de fuite soit recensé dans la presse. Les répercussions s’avèrent variables en fonction du secteur d’activité et de la gravité des données « fuitées ». La motivation de ces vols est portée, comme souvent, par des enjeux économiques voire géopolitiques. Le milieu de la cybercriminalité s’est par ailleurs professionnalisé opérant à une échelle mondiale. Les vecteurs de fuites sont quant à eux variables. Les attaques peuvent ainsi être initiées depuis l’extérieur du SI – comme depuis l’intérieur – avec une authentique intention de nuire. Il s’agit d’autres fois de malheureuses erreurs de manipulation : code malveillant exécuté suite à une mauvaise compréhension de l’utilisateur, envoi d’e-mail au mauvais destinataire, exposition d’un périmètre d’informations trop important vers l’extérieur, solutions mal sécurisées, etc.

Une stratégie d’entreprise globale à l’ensemble des données est primordiale

C’est dans ce contexte – un peu anxiogène – que les DSIs doivent s’organiser afin d’offrir l’agilité nécessaire à leurs métiers afin de rester performants tout en protégeant le patrimoine informationnel de l’entreprise quel que soit ses formes et sa répartition. Les modes de consommation étant en pleine évolution ; il devient capital de s’inscrire dans les scénarios de mobilité – dans l’air du temps – des utilisateurs. Il ne faut par ailleurs pas oublier que les réponses technologiques peuvent parfois impliquer un stockage de données, pour partie, dans le Cloud. Il revient donc au SI d’outiller une réponse globale à l’ensemble de ces composantes. Cette réponse passe par la capacité de distinguer les typologies d’informations, garantir leur confidentialité, tracer leur accès et s’organiser contre la fuite des données (chiffrement des zones gouvernées, prévention de l’erreur humaine, sécurisation d’une éventuelle sortie des données, etc.). Elle doit par ailleurs s’inscrire dans une offre de service agile : restitution/partage du patrimoine informationnel aux bons utilisateurs et potentiellement depuis n’importe où/n’importe quel appareil. Il devient alors nécessaire d’associer – de manière transverse – à l’ensemble des différents pans stratégiques de votre transformation digitale un pan complet relatif à la stratégie sur les données.

Les piliers de la sécurisation de votre patrimoine informationnel

Le fondement de toute stratégie sur les données passe invariablement par la cartographie de celles-ci. Cette première vision de l’existant va permettre de se projeter vers une classification des différentes données de l’entreprise. Il en émergera une notion de niveau de confidentialité voire un besoin de distinction entre les données propres à l’entreprise et les données personnelles de l’utilisateur. Cette classification se doit d’être faite, à des fins de cohérence et d’efficacité, en prenant bien en compte les usages faits sur ces données et les processus impactant leur cycle de vie. Il est d’autre part important de ne pas perdre de vue le fait que les fuites peuvent aussi bien provenir de l’intérieur que de l’extérieur. D’un point de vue technologique, une stratégie de sécurisation complète implique l’intégration de plusieurs solutions du marché : chacune instruisant des problématiques spécifiques. Côté environnement utilisateur, typiquement, il sera nécessaire de réfléchir à une stratégie de chiffrement de surface des appareils, de chiffrement des fichiers des zones de partage voire d’utiliser les nouvelles capacités – des derniers systèmes d’exploitation – permettant la distinction entre sphère personnelle vs d’entreprise pour les applicatifs et les fichiers utilisés au quotidien. Côté offre de service, il pourra également être nécessaire de compléter ou revoir les modalités de sécurisation des briques technologiques (API Management, par ex.) qui exposent des données ou bien auxquelles s’adossent les applicatifs – consommateurs de données. Côté infrastructures, il est possible d’aller jusqu’à la sécurisation des SGBD et autres distributions de Big Data. De manière transverse, des solutions complémentaires pourront accompagner les décideurs, gestionnaires et utilisateurs finaux dans la définition de droits complémentaires sur les fichiers (Data Rights Management), la sensibilisation et la protection des données susceptibles d’être partagées/fuitées en dehors de l’entreprise (Data Leak Prevention) ainsi qu’auditer l’ensemble de ces usages. Plus que jamais l’adhésion des utilisateurs et leur bonne compréhension du cadre de consommation constituent un des premiers facteurs de succès de telles stratégies. L’humain doit, d’ailleurs, être invariablement positionné au cœur de toute stratégie de sécurité. Il peut alors sembler bon de ne pas négliger les opérations de sensibilisation SSI auprès de ces utilisateurs (newsletter, revue de presse, fiches pratiques, pièges), de marketing viral (quizz, posters, vidéos) de communication et formation.

Les clés d’une stratégie de protection des données efficace

  1. La cartographie des données est essentielle et constitue le terreau de tous les chantiers à venir.
  2. La classification permet de typer les données et décliner pour chaque typologie des règles de gouvernance. Elle nécessite une approche orientée « usages » et la prise en compte de diverses composantes : règlementation, scénarios B2E/B2B/B2C, services & applicatifs concernés, populations concernées, moyens d’accès mis en exergue (supports d’accès et géographie), processus de gestion, etc.
  3. Il est important de fournir une réponse globale à cette stratégie. En termes d’outillages, l’intégration de plusieurs solutions au niveau de votre SI sera ainsi probablement nécessaire.
  4. Une trajectoire de la mise en œuvre de cette protection des données doit être définie : couverture fonctionnelle des solutions et recouvrement, portfolio de solutions, gestion des coûts (modèles d’acquisition, synergies en fonction de ces modèles, etc.), périmètres (offre de service, utilisateurs/usages et données) et cadencement technologique.
  5. La sensibilisation des utilisateurs ne peut être négligée et constituera le premier facteur de succès de cette démarche de sécurisation.
Les clés d’une stratégie de protection des données efficace
Notez cet article

Laisser un commentaire

L’e-paiement, à l’heure de la convergence

Le nouveau livre blanc de la rédaction de Solutions-Numériques (40 pages). Dans un contexte réglementaire évolutif, le foisonnement des innovations s'accroit: paiement instantané, blockchain, dématérialisation, transformation de l’écosystème des paiements avec son ouverture à de nouveaux acteurs...

Lire le livre blanc

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • E-déchets et obsolescence programmée sous les feux de l'actualité

    E-gaspillage : Apple et Epson font les gros titres, tandis que les déchets électroniques continuent…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Shadow IT et RGPD : le CASB, un "sas protecteur entre Cloud et utilisateurs", Joël Mollo, Skyhigh

    L’utilisation par les employés de services Cloud non validés par leur direction informatique représente un…

    > En savoir plus...
Etudes/Enquêtes
  • Intelligence artificielle : des bénéfices mesurables pour 8 dirigeants français sur 10

    DSI et dirigeants s'accordent à le dire : l'intelligence artificielle dans l'entreprise apportent des avantages…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Ixia_RGPD_skycraper
Agenda
livres blancs
Les Livres
Blancs
Arcaneo_Congres DSI 2018_skycraper