Connais-toi toi-même : Identifiez vos données « sensibles »
La première étape de la protection de vos données sensibles consiste à comprendre exactement les données que votre organisation possède et gère, ainsi que le degré de sensibilité de ces données. Pour certaines organisations, les cadres de réglementation et de conformité définissent très clairement ce qui constitue des données sensibles et comment les traiter. Par exemple, le RGPD décrit les étapes à suivre pour garantir le traitement sécurisé de toutes les données à caractère personnel, qu’il définit comme suit :
Toute information relative à une personne pouvant être directement ou indirectement identifiée, notamment par référence à un identifiant. Cette définition prévoit un large éventail d'identifiants personnels constituants des données personnelles, notamment un nom, un numéro d'identification, des données de localisation ou un identifiant en ligne, reflétant l'évolution de la technologie et la manière dont les organisations collectent des informations sur les personnes.
Toute organisation qui traite les données de citoyens européens doit respecter les exigences du RGPD ou encourir de lourdes amendes. De même, les directives spécifiques à l’industrie, telles que HIPAA, définissent des règles de protection spécifiques pour des données particulièrement sensibles, telles que les informations de santé protégées (PHI). La norme PCI-DSS décrit les mesures de sécurité applicables aux données des titulaires de cartes de paiments.
En fonction de l’emplacement de votre entreprise, de votre secteur d’activité, de la nature de votre entreprise et de vos clients, vous aurez différents types de données sensibles et, par conséquent, différentes exigences à respecter.
Il est également important de reconnaître que, même si aucun règlement spécifique ne vous oblige à protéger un certain type de données, il peut y avoir de bonnes raisons de le faire de toute façon. Si vous manipulez des informations particulièrement sensibles (par exemple, des données de carrière dans une agence de recrutement) ou êtes vulnérables à une atteinte à la réputation, il est judicieux de prendre des mesures de précaution supplémentaires pour protéger vos données. Vous voudrez peut-être aussi penser à la propriété intellectuelle et à d’autres types de données qui ne risquent pas de nuire à vos clients en cas d’exfiltration, mais qui pourraient certainement nuire à l’entreprise elle-même.
Comprendre ce qui constitue des « données sensibles» pour votre organisation est la première étape pour la protéger.
C’est vital : Focus sur les mouvements de données sensibles :
Certains des outils sur les marchés censés vous aider à protéger les données sensibles vous obligent à cataloguer manuellement les données via un système de classification. Au début, cela peut sembler attrayant, mais la réalité est que les données bougent trop vite dans une organisation moderne pour que cela fonctionne. Les outils de prévention des pertes de données (DLP) traditionnels nécessitent une maintenance élevée et nécessitent un ajustement sans fin des règles et des signatures. Ils sont également souvent assez faciles à contourner par les utilisateurs techniques et ils ont un angle mort particulièrement troublant face aux menaces internes (une source très courante de perte de données).
Au lieu d'utiliser un outil statique tel qu'un DLP qui se concentre sur la classification des données, nous vous recommandons de penser en termes d'activité. Cela inclut à la fois l'activité de l'utilisateur et l'activité des données. L'activité des utilisateurs vous dira quand vos utilisateurs authentifiés interagiront avec des données sensibles d'une manière qui pourrait ne pas être sécurisée.
Le passage d’une partie d’un système ou d’un réseau à un autre peut souvent indiquer que des données sensibles sont en train d’aller ailleurs, ce qu’elles ne devraient pas faire. Par exemple, les utilisateurs peuvent tenter d'exfiltrer des données en utilisant :
- Services de stockage en nuage
- Clients de messagerie professionnels, personnels ou temporaires
- Supports amovibles, y compris les clés USB
- Raccourcis clavier, y compris copier / coller
- Travaux d'impression
- et beaucoup plus de vecteurs
L'activité des données vous montrera lorsque les données se déplacent d'une manière qui pourrait présenter un risque. Cette approche à double facteur est le meilleur moyen possible de prévenir l'exfiltration de données au sein d'une organisation moderne et complexe où les données grandissent et évoluent constamment.
La visibilité est la clé de la protection des données sensibles
Avec une plate-forme de gestion des menaces internes comme ObserveIT, votre entreprise peut obtenir une visibilité totale sur le mouvement des données sensibles. Cela signifie que vous pouvez suivre les fichiers en cours d'utilisation, en mouvement et au repos. Vous pouvez identifier des points d'exfiltration spécifiques (comme une clé USB non autorisée) et détecter un comportement suspect en temps réel. En fin de compte, cela vous donne la visibilité et le contexte sur ce qui s'est passé, vous permettant ainsi de comprendre les intentions de l'utilisateur et de prendre les mesures appropriées pour protéger les données sensibles. Cela peut signifier l'envoi d'une alerte à l'utilisateur afin de lui rappeler les règles, de mener une enquête ou même de transmettre les informations aux RH ou aux représentants légaux, en fonction de la gravité de l'activité.
La protection des données sensibles est aujourd'hui un objectif important pour de nombreuses organisations, et la visibilité obtenue avec une plate-forme comme ObserveIT constitue le meilleur moyen d'atteindre cet objectif.
Voyez exactement comment ObserveIT protège vos données sensibles par vous-même.