Article
Qu’est-ce que la sécurité des données ?
La sécurité des données englobe despratiques servant à protéger les informations numérisées d’un accès non autorisé pendant tout leur cycle de vie (par exemple contre des cybercriminels, des menaces internes, l’erreur humaine, etc.), qui pourrait donner lieu à un vol, une divulgation, une corruption ou un effacement des données. Il est capital de disposer d’un arsenal de processus et de technologies, aux niveaux professionnel, organisationnel et informatique, incluant l’accès à tout le matériel et le logiciel, ainsi que de structures physiques qui les abritent.
Un dispositif et un cadre courants à la base de la sécurité des données est le modèle « CID » (confidentialité, intégrité et disponibilité). Chaque élément joue le rôle suivant :
- La confidentialité
Des mesures sont en place pour garantir que seuls des utilisateurs autorisés disposant d’identifiants en bonne et due forme ont accès aux informations. - L’intégrité
Des systèmes de sécurité des données garantissent que les informations restent fiables, exactes et protégée de changements non justifiés. - La disponibilité
Des vérifications de sécurité des données sont appliquées pour que les données soient d’accès facile et qu’elles soient disponibles pour les besoins courants des utilisateurs autorisés.
Outre les risques encourus avec un malware et les APT (« advanced persistent threats », menaces persistantes sophistiquées), la sécurité des données vise à atténuer les menaces d’origine humaine. Par exemple :
- Se laisser prendre par des ruses de type ingénierie sociale
L’ingénierie sociale est l’un des vecteurs de menace de cybersécurité les plus efficaces, car elle exploite les liens ou les personnes les plus faibles d’une organisation. Ces attaques entraînent des violations de données en manipulant des utilisateurs autorisés et en les amenant à partager des informations sensibles telles que des identifiants ou des informations permettant l’identification personnelle (IPIP). - L’erreur humaine
Les violations de données sont généralement le fait de cybercriminels ou d’initié malveillants, mais l’erreur humaine est souvent à l’origine d’une divulgation de données ou d’informations sensibles. Un partage accidentel, l’octroi d’un accès aux informations sensibles, une perte ou un détournement peut en être la cause. - Les initiés malveillants
Ces menaces internes peuvent tout aussi bien provenir de salariés, de sous-traitants, de fournisseurs ou de partenaires qui menacent délibérément la sécurité des données. Ces initiés mettent à profit la connaissance qu’ils ont d’une organisation pour contourner les mesures de sécurité des données et voler, divulguer, endommager ou détruire des informations sensibles.
Au-delà de la protection des informations contre les cybercriminels, la sécurité des données offre d’autres avantages :
- Elle permet aux organisations de conserver une bonne réputation auprès de leurs clients, partenaires et salariés en leur démontrant que des mesures sont prises pour assurer la sécurité des informations sensibles ;
- Elle leur confère un avantage concurrentiel qui les démarque d’autres entreprises ayant été victimes de violations de données ;
- Elle garantit que les informations sont disponibles pour les systèmes et les utilisateurs autorisés.
Pourquoi la sécurité des données est importante
La sécurité des données a gagné en importance depuis la montée en puissance dutravail à distance, des services sur le cloud et des appareils basés sur l’internet des objets (IoT). Ces tendances ont démultiplié les surfaces d’attaque, laissant plus d’occasions que jamais aux accès non autorisés.
Les organisations peinant à protéger leurs données sensibles, cette tendance continue à susciter une demande en sécurité des données. Parmi les raisons le plus souvent invoquées pour souligner l’importance de la sécurité des données, on peut citer : les obligations de conformité ; le positionnement/l’image de marque ; la valeur de la marque ; et les informations protégées.
1. Les obligations de sécurité des données imposées pour la conformité
- Les organisations publiques et privées sont soumises à un large éventail de normes et de réglementations, notamment des exigences strictes en matière de sécurité des données.
- Les réglementations spécifiques à l’industrie comprennent :
- Le blanchiment d’argent ;
- Les enquêtes sur la situation des clients (« due diligence ») ;
- La loi FERPA (Family Educational Rights and Privacy Act) sur les droits à l’éducation et la confidentialité des familles ;
- La loi fédérale FISMA de 2002 (Federal Information Security Management Act) sur la gestion de la sécurité des informations
- La loi Gramm-Leach-Bliley (GLBA)
- La loi HIPAA (Health Insurance Portability and Accountability Act) sur la transférabilité et la fiabilité de l’assurance-maladie
- La loi KYC (Know Your Client - Connaissez votre client)
- La norme PCI DSS (Payment Card Industry Data Security Standard) régissant la sécurité des cartes de paiement
- La loi SOX (Sarbanes-Oxley)
- Les réglementations qui s'appliquent à toutes les organisations d'une zone géographique comprennent :
- La loi californienne CCPA (California Consumer Privacy Act) sur la vie privée des consommateurs
- La loi CIPA (Children’s Internet Protection Act ) sur la protection des enfants vis-à-vis d’internet
- La loi COPPA (Children’s Online Privacy Protection Act) sur la vie privée des enfants sur internet
- Le RGPD (Réglement général sur la protection des données) de l’Union Européenne
- La loi PIPEDA (Personal Information Protection and Electronic Documents) sur la protection des informations personnelles et des documents électroniques.
Une violation des données peut aussi entraîner des pertes financières considérables, notamment des amendes si les protocoles de sécurité des données dictés par les obligations de conformité n’ont pas été suivis, ainsi que des frais de procédure judiciaire encourus dans le traitement des dossiers de réglement des sinistres et la réparation des préjudices si des données sensibles ont dû être récupérées.
2. La sécurité des données pour empêcher une atteinte au positionnement et à la valeur de la marque
La sécurité des données est également capitale pour parer au risque qu’une violation des données ferait courir à la réputation, et qui entraînerait la perte de confiance des clients, et de la part de marché, qui passerait aux mains de la concurrence.
On ne peut exagérer le coût d’une atteinte à la marque : la violation de données d’une entreprise cotée peut détruire des années, voire des décennies de positionnement et de valeur de la marque, qui ne peuvent être recouvrées à aucun prix ; en fait, les personnes interrogées citent cela comme la principale conséquence d’une violation des données, ce qui rend la sécurité des données d’autant plus incontournable.
3. La sécurité des données pour préserver les informations protégées
Essentiellement, la sécurité des données a pour objectif de protéger les biens et les systèmes numériques d’une organisation : notamment, sa propriété intellectuelle, ses réseaux et ses serveurs, et son infrastructure stratégique. Outre le vol financier, les cybercriminels ciblent couramment des entreprises pour dérober des secrets industriels et des informations de valeur sur les clients.
D’autres attaques visent à semer le chaos, en ciblant l’infrastructure informatique, ce qui bouleverse les opérations et l’infrastructure stratégique, désorganisant au passage des services vitaux comme l’eau ou l’électricité. La sécurité des données offre les protections nécessaires pour se défendre contre ces attaques.
Les différents modes de sécurité des données
Parmi les modes de mise en sécurité des données les plus usités pour protéger les informations, les appareils, les réseaux et les utilisateurs, citons le chiffrement, l’effacement, le masquage, la résilience et la tokénisation. Selon le but recherché, ils sont utilisés soit séparément soit ensemble.
1. Le chiffrement
Le chiffrement des données fait appel à un algorithme pour transformer du texte lisible par les humains en chaîne de caractères. Une fois chiffrées, les données ne peuvent être décodées et rétablies en texte que par un utilisateur autorisé muni d’une clé de déchiffrage unique. Le chiffrement est un outil efficace, couramment utilisé pour protéger les données au repos et pendant un transfert.
2. L’effacement
L’effacement des données est un moyen plus sûr que la suppression simple consistant à retirer définitivement les données d’un système. L’effacement est essentiel pour la sécurité des données car il garantit que des informations laissées sur un appareil seront écrasées et qu’elles s’avèrent irrécupérables.
3. Le masquage
Le masquage des données permet de présenter du texte lisible par des humains à ses utilisateurs mais à dissimuler les informations sensibles par du texte substitutif, c’est-à-dire à « masquer » ou à cacher des informations importantes en les remplaçant le texte déchiffrable par des caractères de substitution. Le contenu revient à sa forme d’origine lorsque des utilisateurs autorisés y accèdent.
4. La résilience
La résilience des données est capitale pour la sécurité des données car elle garantit leur disponibilité. Le recours à des systèmes et des processus de résilience des données, tels que des sauvegardes, limite la désorganisation en cas de destruction accidentelle ou de perte de données, dans le cas d’une cyberattaque (par exemple par ransomware) ou une cyber-catastrophe.
5. La tokénization
Comme le chiffrement, la tokénization remplace le texte en clair par une chaîne de caractères. Elle le substitue par une version illisible des données que l’on appelle un « jeton ».
Cette chaîne de caractères constitue les données d’origine, qui sont mises à l’abri dans un « coffre à jetons » inviolable. Cette solution protège aussi bien les informations sensibles telles que les informations permettant l’identification personnelle (IPIP), que les informations sous secret médical (ISM).
Les outils et les solutions de sécurité des données
Parmi les outils et les solutions courantes de sécurité des données, citons :
- La gestion et les contrôles de l’accès ;
- L’authentification, par exemple la biométrie, l’authentification unique (« single sign-on », SSO), et l’authentification multifactorielle (« multi-factor authentication », MFA);
- La surveillance des données et de l’activité des fichiers ;
- La découverte et la classification des données ;
- La prévention contre la perte de données (DLP) ;
- La sécurisation des e-mails ;
- La gestion des identités et des accès (IAM)
- La protection, la surveillance et le contrôle des réseaux et des terminaux ;
- La surveillance des systèmes en temps réel et des données ;
- L’évaluation de la vulnérabilité et l’analyse de risque ;
Les stratégies de sécurité des données.
Une stratégie globale de sécurité des données combine des outils et des solutions à des processus centrés sur les personnes. Voici plusieurs des grandes stratégies de sécurité des données à employer avec les outils et les solutions :
- Appliquer des correctifs et tenir les logiciels à jour ;
- Se doter de règles pour pouvoir parer à une cyberattaque ;
- Ne pas oublier la sécurité des données mobiles ;
- Sensibiliser les salariés à l’importance de la sécurité des données ;
- Employ data management strategies, including:
- Ensure the physical security of servers and user devices, such as:
- Savoir où sont situées les données ;
- Fractionner les fichiers sensibles ;
- Restreindre les activités risquées ;
- Tester les processus et les systèmes ;
- Pister les accès des utilisateurs ;
- Utiliser des permissions en fonction des comportements.
- Les audits de données ;
- La « minimisation » des données ;
- L’évaluation des risques liés aux données ;
- La purge des données et applications obsolètes ;
- Embauchant du personnel affecté à la sécurité
- Appliquant des contrôlse des accès au moyen de cartes ou à l’aide de la biométrie
- Gardant les armoires fermées à clé
- Fermant à clé les portes de bureaux
- Déchiquetant les documents papier
- Utilisant des caméras de surveillance
Les pratiques homologuées de sécurité des données recommandent aussi de mettre en place une sécurité administrative et opérationnelle.
- La sécurité administrative répond aux risques qui proviennent de l’extérieur d’une organisation avec des mesures telles que :
- La sécurité opérationnelle implique de protéger les informations contre les vulnérabilités d'origine interne avec des tactiques telles que :
- Mener des évaluations de risque indépendantes ;
- Rédiger des règlements sur la confidentialité, la réaction aux incidents et la sécurité des informations ;
- Avoir une police d’assurance couvrant la cybersécurité ;
- Mettre en place des contrôles par audits ;
- Dispenser des formations de sensibilisation à la sécurité.
- L’ajout de messages de sécurité aux écrans de connexion ;
- L’élaboration et la mise en œuvre de procédures pour gérer l’entrée des salariés dans l’entreprise et leurs départs ;
- Encourager une culture de la sécurité ;
- La surveillance des appareils électroniques des utilisateurs ;
- La formation des utilisateurs interne et externes.
Les tendances en sécurité des données
Accroître les surfaces d’attaque des appareils sous IoT
Les appareils sous IoT représentent l’un des risques les plus graves pour la sécurité des données en raison de leur ampleur et de la rapidité de leur déploiement : plusieurs milliards dans le monde. Ces appareils se trouvent presque n’importe où, et comme ils sont nombreux à être connectés aux réseaux, ils ont augmenté les surfaces d’attaque de façon exponentielle.
Outre le nombre d’appareils IoT en circulation, leur vulnérabilité en fait une menace particulière pour la sécurité des données ; la sécurité n’ayant pas fait partie des priorités lors de leur fabrication, ils sont souvent dénués de toute protection.
Comme les appareils sous IoT ont des capacités de traitement et de stockage limitées, il est difficile d’y installer des logiciels de sécurité des données. De plus, en raison de leur nombre et de leur dispersion, il est difficile de maintenir les systèmes à jour et d’installer des mises à jour et des correctifs de sécurité.
La menace croissante des ransomware
Même si le ransomware fait partie du paysage des cybermenaces depuis 1989, il est devenu le logiciel malveillant préféré de nombreux cybercriminels. Il est relativement facile à introduire, et il est tout aussi « payant » que d’autres malwares courants.
Le ransomware est aussi accessible partout sur le dark web. Même des particuliers ou de petits groupes de cybercriminels peuvent le mettre à profit, en l’utilisation comme ransomware en tant que service.
Les solutions de sécurité des données servent à lutter contre le ransomware. Cependant, les systèmes de sécurité des données doivent relever le défi de stopper les ransomwares, car ils utilisent couramment l’ingénierie sociale pour contourner ces solutions.
Augmenter le recours à l’intelligence artificielle dans la sécurité des données
L’intelligence artificielle (IA) est de plus en plus utilisée avec le machine learning (ML), ou apprentissage automatique, pour rendre les solutions de sécurité des données plus efficaces. L’IA et le ML sont utilisés pour automatiser les processus de sécurité et la détection des menaces. Ils perfectionnent les outils en permanence car les données recueillies servent à mieux repérer les activités suspectes. L’IA est fondamentale pour la sécurité des données car elle peut traiter de grandes quantités de données et prendre rapidement des décisions basées sur l’analyse pour éclairer la réaction aux incidents, et ce des milliers de fois plus vite que les humains et les logiciels classiques.
Une autre branche de l’IA, le traitement en langage naturel (NLP), sert à lutter contre les tentatives de phising (ou « hameçonnage »), car l’IA et les outils du ML sont plus aptes à détecter les messages malveillants que les êtres humains. En outre, l’IA rend le filtrage biométrique utilisé pour une autorisation plus précis et plus performant ; par exemple la reconnaissance faciale, la reconnaissance des empreintes digitales et la reconnaissance vocale. On l’utilise aussi pour développer des méthodes de filtrage biométrique pour faire progresser la sécurité des données, telles que la reconnaissance des comportements.
La sécurité des données de l’entreprise
La sécurité des données de l’entreprise nécessite une approche à plusieurs niveaux pour que les données et les applications soient toujours sûres et disponibles. Elle englobe aussi la préparation à la continuité du service afin de limiter au maximum les interruptions en cas de cyberattaque ou de catastrophe.
Le champ d’application de la sécurité des données de l’entreprise continue à s’étendre, face au nombre croissant de personnes travaillant chez elles, l’utilisation généralisée des appareils électroniques et l’explosion des appareils sous IoT. Chacun de ces cas d’usage dépend fortement des informations qui sont souvent sensibles. Plus la complexité, la quantité d’utilisateurs (tant humains que non humains) et les surfaces d’attaque s’étendent et plus la barre est haute pour sécuriser les données de l’entreprise.
La sécurité des données dans le cloud
La sécurité des données dépasse les limites de l’informatique interne, pour couvrir l’empreinte croissante de l’infrastructure et des services dans le cloud. En général, la sécurité des données pour l’infrastructure et les services est assurée conjointement par les prestataires de service cloud et les services informatiques des entreprises.
L’informatique en nuage est soumise à un grand nombre des menaces qui affectent les installations physiques sur site. Les solutions de sécurité des données ont été optimisées pour gérer les environnements cloud, mais il faut prendre d’autres précautions. Parmi les autres aspects à prendre en compte dans la sécurité des données pour une infrastructure et des services dans le cloud, indiquons la nécessité de protéger la migration vers le cloud et d’éviter des erreurs de configurations des paramètres susceptibles de donner lieu à des failles.
La sécurité des données et l’approche « BYOD »
L’approche consistant à apporter son propre appareil (en anglais, « bring your own device », ou « BYOD »), ou l’utilisation de son ordinateur personnel, sa tablette et ses appareils mobiles dans le cadre des outils informatiques de l’entreprise s’est imposée, et elle se répand, malgré la protestation - justifiée - des équipes informatiques sur les risques que présente cette pratique. Les mesures de sécurité des données continuent à se multiplier pour tenter de protéger ces appareils.
Les protocoles de sécurité des données employés pour consolider les protections contre les menaces crées par le principe BYOD exigent des salariés qui utilisent leurs propres appareils qu’ils installent des logiciels de sécurité pour accéder aux réseaux de l’entreprise. Cette pratique vise à centraliser la visibilité sur les données et le contrôle de l’accès aux données et des allées et venues entre les appareils personnels. Les autres tactiques de sécurité des données qui contribuent à sécuriser les BYOD ont recours au chiffrement, à des mots de passe difficiles à deviner, à l’authentification multifactorielle, à l’installation régulière de correctifs et de mises à jour logicielles, et aux sauvegardes.
La surveillance est une autre importante mesure de sécurité des données servant à atténuer le risque du BYOD. Cette approche prend également en compte l’utilisation d’appareils BYOD en identifiant la totalité des appareils.
Rester au fait des progrès de la sécurité des données
Présente depuis l’avènement de l’information, la sécurité des données a joué un rôle décisif pour assurer son intégrité et sa disponibilité, depuis les premiers cryptages manuels jusqu’aux cryptes pour mettre les secrets à l’abri. Comme la plupart des technologies, la sécurité des données ne cesse d’évoluer. Pour profiter pleinement de la puissance et de l’efficacité de la sécurité des données, prenez le temps de vous tenir informé des tendances qui se dessinent et des solutions qui arrivent sur le marché.