Qu’est-ce que la protection des données ?

Chaque jour, des cyberattaques visent à dérober des informations précieuses et sensibles aux entreprises, aux institutions et aux organisations gouvernementales.

La sophistication croissante de ces menaces a mis en évidence l’importance de la protection des données pour prévenir les violations coûteuses et les fuites de données.

La protection des données est devenue l’un des principaux objectifs de la cybersécurité et constitue un élément majeur de la conformité et de la protection de la vie privée.

Grâce à un ensemble approprié de systèmes et de stratégies, les organisations peuvent empêcher les attaquants de voler des données, ce qui les protège contre les pertes de données et les interruptions de continuité.

La perte et la corruption de données coûtent chaque année des milliards aux entreprises. Un seul événement de cybersécurité coûte près de 100 000 dollars par incident, et les coûts continuent d’augmenter.

Une organisation victime d’une violation de données doit dépenser de l’argent pour couvrir les frais de justice, les amendes de mise en conformité et les nouveaux équipements de cybersécurité. Par conséquent, il est globalement rentable de mettre en place les contrôles appropriés pour prévenir un incident.

L’objectif de la protection des données est d’empêcher le vol de données avant qu’une organisation ne subisse les conséquences coûteuses d’une compromission réussie. Elle protège également les clients contre la perte de leurs données par un attaquant et contre le risque d’être victimes d’une usurpation d’identité ou d’une fraude.

Éviter une compromission n’est pas le seul avantage de la protection des données. La protection des données aide les entreprises à valoriser leurs données en les cataloguant en vue d’une utilisation future.

Il existe trois éléments fondamentaux de la protection et de la sécurité des données que la plupart des organisations devraient prendre en compte dans leurs efforts de cybersécurité : La confidentialité, l’intégrité et la disponibilité.

Ces trois piliers sont connus sous le nom de Triade CIA, qui fonctionne comme un cadre pour soutenir des systèmes de protection des données résilients.

• Confidentialité : Il s’agit d’une protection sûre des données contre les accès non autorisés, qui ne permet qu’à des utilisateurs sélectionnés disposant d’une autorisation et d’informations d’identification appropriées.
• Intégrité : Les données sont dignes de confiance, fiables, exactes et complètes, sans altération ou modification accidentelle.
• Disponibilité : Elle garantit que les données sont facilement accessibles et disponibles en cas de besoin pour assurer la continuité de l’activité.

La continuité des activités dépend de la protection des informations. Pour assurer cette continuité, les entreprises doivent disposer de moyens de récupération en cas d’incident de cybersécurité.

Par exemple, une mauvaise configuration ou une défaillance inattendue du système peut entraîner une corruption des données. Les plans de protection des données entrent alors en jeu après ces événements.

Le temps nécessaire à une entreprise pour se remettre d’une panne a une incidence sur son chiffre d’affaires. Plus le système souffre de temps d’arrêt, plus l’entreprise ne peut maintenir sa productivité.

Sans productivité, l’entreprise ne peut maintenir son chiffre d’affaires. En outre, les temps d’arrêt peuvent affecter la croissance future du chiffre d’affaires et nuire à la marque.

La protection des données, la sécurité et la protection de la vie privée sont des termes apparentés qui sont souvent utilisés de manière interchangeable, mais qui ont chacun une signification et des intentions différentes :

• Protection des données : Les mesures de sauvegarde qui empêchent l’accès, l’utilisation, la divulgation, la modification ou la destruction non autorisés des informations. La protection des données englobe toutes les initiatives physiques, techniques, administratives et juridiques visant à protéger les données.
• Sécurité : Les protocoles visant à protéger les systèmes informatiques, les logiciels et les réseaux contre les violations d’accès, d’utilisation, d’altération ou de destruction. La sécurité couvre les systèmes physiques, techniques et administratifs destinés à sécuriser les ordinateurs et l’infrastructure des réseaux.
• Vie privée : Dans le contexte de la protection des données, la protection de la vie privée couvre toutes les mesures prises pour protéger les informations personnelles et confidentielles, comme la limitation de l’accès aux données, l’obtention du consentement pour leur collecte, leur divulgation et leur utilisation, et la garantie que les données sont exactes et à jour.

L’une des difficultés rencontrées par les entreprises lors de la mise en œuvre de la protection des données réside dans les barrières et les obstacles nécessaires à l’élaboration d’un plan efficace.

À mesure que la technologie évolue et que de plus en plus d’entreprises travaillent dans le cloud, la surface d’attaque de l’environnement augmente, ce qui rend la défense contre les attaques plus difficile.

Voici quelques obstacles à prendre en compte :

• Surface d’attaque élargie : L’ajout de sauvegardes, d’archives et d’autres composants environnementaux améliore la protection des données, mais augmente la surface d’attaque et les risques.
• Vulnérabilités courantes : Les erreurs de configuration sont encore courantes dans un environnement et sont souvent la cause première d’une compromission. D’autres vulnérabilités courantes persistent et doivent être corrigées pour éviter une compromission.
• Évolution des exigences en matière de piratage et de rapports : Les organisations doivent tenir compte de la conformité lorsque la protection des données est mise en œuvre, ce qui nécessite un audit et une compréhension de chaque règle de conformité.
• Augmentation de l’IoT et de l’utilisation mobile : Autoriser les appareils IoT et mobiles augmente la surface d’attaque d’une organisation, ce qui rend la protection des données plus difficile, en particulier si les appareils appartiennent à l’utilisateur.

Le chiffrement des données est la première étape de la protection des données contre les attaquants.

Le chiffrement doit être mis en œuvre sur les données au repos et en mouvement. Lorsque les données sont transférées sur l’internet, elles doivent être cryptées pour éviter les écoutes et les attaques de type “man-in-the-middle”. La conformité exige que certaines données soient cryptées au repos, comme les informations sensibles stockées sur des appareils mobiles.

Le chiffrement sécurisé par cryptographie empêche les attaquants de lire les données volées. Les appareils mobiles dont les données sont cryptées au repos empêchent les pirates de récupérer les données d’un appareil physiquement volé.

La conformité régit également les données qui doivent être cryptées et la manière dont une organisation protège les informations, c’est pourquoi il convient de toujours vérifier les réglementations avant d’élaborer un plan.

La protection des données ne se limite pas à une seule étape. La protection complète des informations implique plusieurs éléments. La plupart des grandes organisations utilisent plusieurs principes de protection des données.

Cependant, toute organisation soumise à des règles de conformité et disposant de données très sensibles (par exemple, dans le domaine financier ou de la santé) devrait intégrer toutes les catégories dans ses contrôles de cybersécurité.

Les catégories de protection des données sont les suivantes :

• L’eDiscovery et la conformité : Découvrir l’utilisation des données qui doivent être cataloguées, étiquetées, et mettre en place des contrôles d’accès. Cela peut se faire à l’aide de solutions analytiques d’eDiscovery.
• Archivage : Stockez les anciennes données dans un endroit séparé pour libérer de l’espace de stockage, mais conservez-en une copie en cas de besoin dans le cadre d’une enquête. Des solutions d’archivage peuvent être utilisées à cet effet.
• Sauvegardes : Effectuer une copie des données en vue d’une reprise après sinistre en cas de compromission ou de corruption.
• Instantanés : Les instantanés sont similaires aux sauvegardes, mais ils incluent toutes les configurations du système pour récupérer les serveurs.
• Réplication : La réplication des données entre les environnements assure la redondance.
• Disponibilité : Toutes les données de production doivent être disponibles pour les opérations quotidiennes de l’entreprise afin de soutenir la croissance du chiffre d’affaires.
• Reprise après sinistre : Un plan de reprise après sinistre permet de remédier à toute perte de données et de rétablir le système à son état normal afin de maintenir la productivité de l’entreprise et de minimiser les temps d’arrêt.
• Continuité des activités : Tout doit être mis en œuvre pour assurer la stabilité et la disponibilité des données afin de maintenir la productivité.

L’environnement système actuel comprend de multiples systèmes d’exploitation et plateformes, y compris l’informatique en cloud. Pour poursuivre les opérations, les données doivent être portables dans chaque environnement. Cependant, la commodité de la portabilité devrait également impliquer la protection des données contre les écoutes, le vol et la corruption.

L’un des problèmes de la portabilité des données est de s’assurer qu’elle s’intègre dans le cloud. De plus en plus d’entreprises reconnaissent que l’informatique dématérialisée est parfaite pour les sauvegardes et l’archivage, de sorte que tout plan de reprise après sinistre doit prévoir le temps nécessaire pour migrer les données de l’informatique dématérialisée vers le stockage sur site.

Le cloud est sûr, mais les administrateurs doivent configurer correctement les données migrées pour assurer la protection et la disponibilité des données, y compris les contrôles d’accès nécessaires pour se prémunir contre le vol.

Les sauvegardes ont toujours été nécessaires pour assurer la continuité des activités, mais elles font désormais partie intégrante de la reprise après sinistre.

Au lieu d’effectuer des sauvegardes à une fréquence spécifique, les sauvegardes de données sont continues et plus stratégiques pour remettre l’entreprise dans l’état où elle se trouvait avant l’événement cybernétique.

Le stockage de grandes quantités de données est coûteux et nécessite un espace de stockage énorme, c’est pourquoi les entreprises ont généralement recours à l’informatique dématérialisée pour éviter les dépenses sur site. Un bon plan de reprise après sinistre implique la déduplication des données et la garantie qu’aucune donnée n’est perdue lors de la migration d’une sauvegarde vers le système affecté.

Les petites et grandes entreprises bénéficient de la protection des données, mais une entreprise comporte plusieurs parties mobiles, une grande surface d’attaque et d’énormes quantités de données qui doivent être protégées.

La stratégie de protection des données d’une entreprise diffère généralement de celle d’une petite entreprise en raison de la grande surface d’attaque.

Voici quelques éléments de la protection des données d’une entreprise :

• Une visibilité intelligente : Les administrateurs de l’entreprise doivent être au courant de toutes les données de l’environnement afin de pouvoir les surveiller et les protéger.
• Atténuation proactive : La cybersécurité réactionnelle est coûteuse et peut gravement nuire au chiffre d’affaires, alors que les outils et services d’atténuation proactive détectent et arrêtent une attaque en cours avant qu’elle ne devienne une compromission complète.
• Contrôle continu : Les administrateurs doivent créer un plan de protection des données qui leur donne un contrôle permanent sur l’accès et la visibilité.

La plupart des entreprises sont confrontées à une surface d’attaque croissante et à l’apparition de nouvelles menaces. Ces problèmes rendent plus difficile l’élaboration d’un bon plan de protection des données.

Tout en planifiant l’infrastructure et les procédures nécessaires à la protection des données, les administrateurs doivent se préparer à faire face à quelques problèmes potentiels, notamment :

• Corruptions de données : Les sauvegardes doivent être sûres et valides, ce qui signifie que toute sauvegarde doit être vérifiée pour s’assurer qu’elle n’est pas corrompue. Des sauvegardes corrompues peuvent détruire un plan de reprise après sinistre lorsqu’il est mis en œuvre.
• Défaillances des systèmes de stockage : Chaque système de stockage doit être disponible pour maintenir la productivité. Les emplacements de stockage de secours doivent également être disponibles pour permettre une reprise d’activité immédiate en cas de besoin.
• Défaillances du centre de données : Les organisations qui travaillent dans le cloud ou dans un centre de données ont besoin de connexions persistantes et fiables au cloud. Un FAI secondaire ou une connexion de basculement est souvent nécessaire en cas de perte de connectivité.

La cybersécurité évolue chaque jour avec la découverte de nouvelles menaces et les attaquants trouvent de nouveaux moyens de contourner la sécurité, de sorte que les tendances continuent d’évoluer pour s’adapter aux menaces.

Les administrateurs n’ont pas besoin de mettre en œuvre toutes les tendances en matière de protection des données, mais l’adoption des dernières technologies permet souvent d’arrêter les dernières menaces.

Voici quelques tendances à prendre en compte :

• L’hyperconvergence : Les entreprises disposent désormais d’une combinaison de machines virtuelles et physiques, et tous les environnements doivent être sauvegardés. Lors de l’élaboration d’un plan, il convient de s’assurer que les serveurs et les périphériques réseau virtualisés sont inclus.
• Ransomware : Le seul moyen de se remettre d’une attaque sophistiquée de ransomware est de récupérer à partir des sauvegardes. Les ransomware ciblent ces sauvegardes, c’est pourquoi les plans de protection des données doivent inclure la sécurité des fichiers de sauvegarde et des emplacements de stockage.
• Gestion des copies de données : La redondance est nécessaire pour une bonne protection des données, mais des sauvegardes mal gérées peuvent être un cauchemar et entraîner la perte et la corruption de données. La planification doit inclure les étapes nécessaires pour s’assurer que les sauvegardes sont stockées à un seul endroit et que d’autres systèmes de sauvegarde actifs ne les écrasent pas.

Les appareils et les serveurs de l’entreprise sont plus faciles à gérer, car elle possède et contrôle ce qui peut être installé. Les appareils mobiles des utilisateurs sont plus difficiles à gérer, puisque les données de l’entreprise doivent être protégées sans interférer avec les données et applications personnelles des utilisateurs.

Si le fait de permettre aux travailleurs d’utiliser leurs propres appareils mobiles améliore la productivité, cela augmente également les risques. Les administrateurs doivent prendre des mesures pour s’assurer que les données mobiles sont protégées par la sécurité mobile.

Toutefois, cette composante de la gestion de la cybersécurité est beaucoup plus difficile à gérer que les serveurs et les appareils internes. Les données doivent être synchronisées avec des stratégies de sauvegarde, et l’appareil doit protéger les données en cas de vol physique.

Chaque élément de la cybersécurité sert à protéger les données, mais les règles de conformité font la distinction entre protection, sécurité et confidentialité. Les organisations doivent comprendre ces différences pour mettre en œuvre les contrôles appropriés afin de rester en conformité et d’éviter les amendes.

• Protection des données : Tout appareil ou application qui arrête les cyberattaques et protège contre le vol.
• Sécurité des données : Ressources de cybersécurité qui protègent contre les accès non autorisés et la manipulation ou l’altération des données.
• Confidentialité des données : L’audit des données et la détermination des personnes qui devraient y avoir accès, ainsi que le contrôle des demandes d’accès.

Chaque pays possède ses propres lois sur la protection de la vie privée, et les organisations de ces pays doivent se conformer aux réglementations.

Les deux lois les plus importantes en matière de confidentialité des données sont le règlement général sur la protection des données (RGPD) de l’Union européenne, qui est entrée en vigueur en 2018, et la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, CCPA) aux États-Unis. Ces deux lois prévoient des sanctions sévères en cas de non-conformité.

Les deux règlements de conformité ont leurs propres exigences, et les organisations doivent s’assurer qu’elles les examinent et les respectent.

Le GDPR et le CCPA de l’UE sont deux des lois les plus critiques en matière de protection de la vie privée, assorties de sanctions sévères en cas de non-respect.

Ces mesures de protection de la vie privée donnent aux consommateurs plus de contrôle sur leurs données et de transparence sur la façon dont les organisations les utilisent.

Dans les deux lois, il convient de préciser que les utilisateurs ont :

• Le droit d’être informés ou de savoir comment leurs données sont utilisées.
• Le droit d’accéder à leurs données et de les consulter.
• Le droit de rectification ou la possibilité de corriger les données.
• Le droit à l’effacement ou à la suppression de leurs données ou à l’exclusion totale.

Chaque organisation a son propre plan de protection des données qui doit respecter les normes de base en la matière.

Les outils et les appareils qui protègent les données dépendent de l’infrastructure et des pratiques de stockage de l’organisation (par exemple, stockage sur site ou dans le nuage).

Voici quelques exemples de protection des données :

• Sécurité des données : L’authentification est nécessaire pour accéder aux données.
• Contrôles d’accès : L’utilisateur doit être autorisé à consulter les données.
• Exigences en matière de stockage : Les données sont-elles protégées au repos et en mouvement ?

Un certain nombre de tendances en matière de transformation numérique et de sécurité des données ont un impact sur la manière dont les organisations gèrent leurs efforts de protection des données.

• Travail à distance : Le passage au travail à distance a créé de nouveaux défis en matière de sécurité, car les employés accèdent aux données de l’entreprise en dehors du réseau du bureau.
• Sauvegarde et reprise après sinistre en tant que service : Les organisations se tournent de plus en plus vers des solutions de sauvegarde et de reprise après sinistre basées sur le cloud pour protéger leurs données en cas de violation de la sécurité ou d’autre sinistre.
• Conformité réglementaire : La conformité aux réglementations sur la confidentialité des données telles que le GDPR et le CCPA devient de plus en plus importante, car les organisations s’exposent à de lourdes amendes en cas de non-respect de ces réglementations.
• Gouvernance de l’IA : À mesure que l’intelligence artificielle devient plus répandue, les organisations se concentrent sur le développement de cadres de gouvernance pour s’assurer que l’IA est utilisée de manière éthique et que les données utilisées pour former les modèles d’IA sont protégées.
• Données zéro et de première partie : Avec l’abandon progressif des cookies tiers, les organisations cherchent à collecter des données zéro et première partie pour améliorer leurs pratiques de protection et de sécurité des données et mieux comprendre leurs clients.

Les menaces devenant de plus en plus avancées et sophistiquées, les organisations doivent se tenir au courant des derniers outils de protection des données et des dernières méthodes de sécurité de l’information.

Systèmes de sauvegarde et de récupération des données : Ces outils sauvegardent automatiquement les données importantes et peuvent les récupérer rapidement en cas de violation de la sécurité ou d’autre catastrophe.

• Chiffrement et cryptographie : Ces technologies protègent les données sensibles en les encodant de manière à ce que seul le personnel autorisé puisse y accéder.
• Logiciels de découverte et de classification des données : Les plateformes logicielles aident les organisations à identifier et à classer les données sensibles afin de mieux les protéger.
• Sécurité des terminaux : Ces systèmes protègent les appareils individuels tels que les ordinateurs portables, les ordinateurs de bureau et les téléphones mobiles contre les menaces de sécurité.
• Prévention des pertes de données : Ces protocoles visent à empêcher la perte, le vol ou la compromission des données en surveillant et en contrôlant l’accès aux données et leur utilisation.
• Pare-feu : Technologies conçues pour empêcher l’accès non autorisé aux réseaux informatiques en filtrant le trafic réseau entrant et sortant.
• Gestion des accès : Mesures utilisées pour contrôler l’accès des utilisateurs aux données et systèmes sensibles afin de s’assurer que seul le personnel autorisé peut y accéder.
• Effacement des données : ces outils effacent en toute sécurité les données des dispositifs de stockage afin d’empêcher le personnel non autorisé d’y accéder.
• Logiciel de surveillance des employés : Plateformes conçues pour surveiller et superviser l’activité des employés sur les réseaux d’entreprise afin de détecter et de prévenir les failles de sécurité.
• Logiciels antivirus, anti-malware et anti-ransomware : Ils protègent et désinfectent les systèmes informatiques contre les virus, les logiciels malveillants et les attaques de ransomware qui menacent d’entraîner des violations et des fuites de données.

Il est difficile pour les organisations d’auditer les données et de déterminer les stratégies de protection appropriées dans un environnement.

Les solutions de protection des informations de Proofpoint peuvent aider les organisations à auditer et à découvrir les données, à créer une stratégie qui respecte le RGPD et d’autres réglementations de conformité, et à protéger les données contre le vol ou la destruction.

Nous rationaliserons les réponses aux incidents et créerons un environnement qui protège les données contre les risques externes, y compris les menaces qui ciblent les plateformes cloud.