Qu’est-ce que la DLP Amazon Web Services (AWS) ? Définition

Lorsque les entreprises stockent des données sur Amazon Web Services (AWS), elles ont besoin d’un moyen de s’assurer que les données sensibles sont protégées contre le vol, la divulgation et la corruption.

La DLP (Data Loss Prevention) est un outil utilisé par les administrateurs pour classer les données et déterminer les règles et politiques d’autorisation d’accès à ces dernières. Les entreprises utilisent généralement la DLP dans des environnements où les réglementations de conformité supervisent la manière dont les données sont accessibles et stockées et où l’accès aux données doit être strictement appliqué et surveillé.

Comme AWS se trouve dans le cloud, cela offre des protections pour sauvegarder les données et suivre les critères généraux de DLP.

À mesure qu’une entreprise se développe et étend son environnement informatique au cloud, les données doivent être auditées et suivies. La première étape de la DLP pour AWS consiste à faire l’inventaire de toutes les données (par exemple les fichiers et les ressources) et à les classer par catégories.

La catégorisation des données en groupes permet aux administrateurs de classer les données fortement surveillées et de marquer les ressources. Cette étape permet également de vérifier l’environnement de tous les appareils et ressources qui doivent accéder aux données dans le cloud AWS.

Une fois les données classées par catégories, les administrateurs peuvent alors élaborer des règles d’autorisation. Ces règles sont choisies d’après l’évaluation des risques, un processus mis en œuvre par des équipes de sécurité professionnelles.

L’évaluation des risques détermine l’importance des données afin que les administrateurs puissent élaborer des règles en fonction des catégories de données.

Les catégories correspondent généralement à un risque “élevé”, “moyen” ou “faible”. Le risque “élevé” est attribué aux données les plus sensibles, comme les numéros de carte de crédit ou de sécurité sociale. Le risque « faible » concerne les données qui doivent être protégées, mais qui ne constituent pas une menace pour les clients ou l’entreprise si elles sont divulguées.

Par exemple, les données à “faible” risque sont le prénom de l’utilisateur ou ses données démographiques. Ce sont des données qui doivent être protégées, mais ce ne sont pas des informations critiques qui pourraient être utilisées pour l’espionnage d’entreprise, la fraude ou le vol d’identité.

Dans la DLP, les données sont évaluées à l’aide de trois qualificatifs : Confidentialité, Intégrité et Disponibilité.

Ces trois critères déterminent la manière dont les données doivent être stockées et protégées. Seules les personnes autorisées peuvent accéder aux données confidentielles. Les données étiquetées avec un marqueur Intégrité sont essentielles à la productivité de l’entreprise et doivent être protégées contre la corruption.

Le marqueur Disponibilité garantit que les données seront toujours stockées de manière à être facilement accessibles pour les utilisateurs autorisés qui en ont besoin.

Les administrateurs d’entreprise se tournent souvent vers la DLP AWS pour les aider à assurer la conformité.

Les réglementations de conformité qui supervisent les données dépendent du secteur d’activité de l’entreprise. Au moins une norme de conformité s’applique généralement à une entreprise. Parmi les exemples d’organismes de gouvernance de la conformité qui déterminent la manière dont les données sont accessibles et stockées, nous pouvons citer HIPAA, PCI-DSS, RGPD, FISMA et FERPA.

Avant qu’une organisation ne conçoive une politique de stockage, les administrateurs doivent consulter des experts pour déterminer les règles de conformité qui doivent être suivies. Le non-respect des réglementations peut entraîner de lourdes amendes et, dans certains cas, des sanctions de plusieurs millions de dollars.

Les règles de conformité consistent en des règles strictes sur la façon dont les données sont stockées au repos et en cours d’utilisation. Les données au repos représentent tout fichier ou ressource stockée sur le réseau. Ces données sont dites “au repos” parce qu’elles ne sont pas transférées ou déplacées vers un autre endroit. Celles-ci doivent être protégées contre une violation et, dans certains cas, doivent être chiffrées.

Les données en cours d’utilisation sont toutes les informations transférées sur le réseau ou sur Internet. Il peut s’agir d’un fichier transféré d’un endroit à un autre ou d’une pièce jointe envoyée par un courriel d’entreprise à un utilisateur externe. Les données sont déplacées du stockage local du serveur vers une application qui requiert des données. Ces dernières sont également en cours d’utilisation lorsqu’elles se déplacent sur le réseau.

Les données au repos et en cours d’utilisation doivent respecter les normes de conformité. La DLP exige par exemple, que les données en cours d’utilisation soient cryptées. Les données transférées sur Internet doivent toujours être chiffrées, mais les données au repos peuvent être stockées sans chiffrement, en fonction de leur sensibilité et de leur niveau de confidentialité.

Chaque entreprise a ses propres normes et méthodes de protection des données, mais le respect de normes générales simplifie le processus, surtout si l’organisation crée une nouvelle politique.

Quelques normes générales à suivre :

• Vérifier les données et les classer. Cette étape permettra de déterminer l’importance des données qui doivent être protégées et les règles d’autorisation.
• Déterminer une bonne architecture AWS qui offre plusieurs outils et politiques de sécurité pour aider les entreprises à protéger les données au repos et en mouvement.
• Définissez les rôles et les règles d’autorisation. Ces rôles et politiques détermineront les données auxquelles les utilisateurs peuvent accéder.
• Documentez les procédures. En faisant cela, chaque employé, y compris les nouvelles recrues, suivra un processus spécifique et reproductible.

Étant donné que la DLP AWS cible spécifiquement l’environnement du cloud, les administrateurs peuvent utiliser les outils AWS pour effectuer la DLP ou utiliser des outils tiers qui protègent les données. AWS dispose de ses propres outils, mais de nombreuses entreprises choisissent de travailler avec des outils adaptés à leurs besoins spécifiques.

Lorsqu’elles choisissent un outil DLP AWS, les entreprises doivent en trouver un qui offre des méthodes conformes aux réglementations de conformité du secteur.

Par exemple, s’il s’agit d’une entreprise du secteur de la santé, l’outil DLP doit permettre un ensemble de règles conformes à la loi HIPAA. Les outils qui intègrent des normes de conformité dans leur logiciel permettent aux entreprises de catégoriser plus facilement les données et de suivre des politiques spécifiques aux exigences de conformité.

Les outils AWS DLP comprennent :

• Des tableaux de bord permettant aux administrateurs d’obtenir un aperçu rapide de l’état actuel et précédent du système.
• Des analyses qui fournissent des statistiques et des conseils généraux.
• Des outils permettant de recueillir des renseignements sur les données et l’état de ces dernières.
• Une visibilité sur les données et l’environnement dans lequel elles sont stockées.