Connect with us

Technologie

Groupe de réflexion sur la sécurité : étapes vers une pratique solide en matière de confidentialité des données

Published

on


Votre entreprise a survécu aux confinements liés au Covid-19 ; le personnel administratif et les employés qui peuvent travailler à domicile s’y sont habitués et, dans l’ensemble, ne veulent vraiment pas retourner au bureau. Parallèlement à cela, votre entreprise a vu l’opportunité de réduire l’espace de bureau et donc d’économiser de l’argent. Votre personnel informatique a fait un travail remarquable en mettant à niveau et en reconstruisant l’infrastructure informatique pour mieux prendre en charge le travail à distance, ce qui comprenait probablement l’adaptation de l’infrastructure de l’entreprise pour utiliser davantage de ressources basées sur le cloud.

La société s’approche maintenant d’une nouvelle normalité et pour mieux soutenir cela, elle a décidé qu’elle avait besoin de sang neuf au niveau du conseil d’administration pour mieux traiter le marketing et les ventes sur Internet et les problèmes potentiels de confidentialité des données qui pourraient survenir. Pour répondre à ces exigences, il a été nécessaire d’embaucher quelques administrateurs non exécutifs (NED) – l’un ayant une expertise dans l’exploitation d’Internet et des médias sociaux à des fins de marketing, de vente et de support produit, et l’autre ayant de l’expérience dans l’assurance de l’information, la sécurité de l’information, le règlement général sur la protection des données et l’analyse des risques informatiques.

La NED marketing embauchée a commencé par lancer un examen de ce que l’entreprise a fait dans le passé, de ce qui s’est bien passé et de ce qui ne s’est pas bien passé. En parallèle, un exercice a commencé à mesurer comment les produits de l’entreprise se mesurent à la concurrence et comment la concurrence commercialise ses produits et comment ils gèrent des campagnes publicitaires. Ces examens entraîneront, selon toute probabilité, des changements à l’échelle de l’entreprise qui auront un impact sur l’infrastructure informatique.

L’autre NED, l’infosec NED, a commencé par demander : « Existe-t-il un inventaire complet et à jour de toutes les données détenues ou traitées par l’entreprise ? » Les réponses allaient généralement de « non » à « c’est aux différents départements ». Il y a très peu d’entreprises ou d’organisations où les dirigeants pourraient mettre la main sur leur cœur et répondre « oui » à cette question.

La raison pour laquelle cette question a été posée, et même posée en premier, est que si une entreprise ne connaît pas la totalité des données dont elle dispose, la valeur des données et la façon dont elles sont utilisées et stockées, alors il est très difficile, voire impossible, de sécuriser et de contrôler efficacement ces données.

Préparation à l’élaboration ou à la mise à jour d’un inventaire existant

Divers types de données devront être identifiés, comme ceux relatifs aux RH ou aux finances, mais en identifiant ces différents types de données, soyez averti qu’une approche trop granulaire rendra plus difficile le contrôle efficace au fil du temps, alors qu’une approche qui n’est pas assez granulaire ne traitera pas correctement de la confidentialité des données.

Chaque type de données ne doit avoir qu’un seul propriétaire de données et le travail de ce propriétaire de données est d’identifier, par politique et procédure, qui ou quel processus peut accéder à leurs données et dans quel but (créer, lire seulement, lire/écrire/copier, traiter, archiver ou supprimer). Il est probable que dans une grande organisation, le propriétaire des données délègue le contrôle quotidien de ses données à d’autres personnes connues spécifiques. Dans les petites et moyennes entreprises (PME), ce contrôle quotidien de leurs données serait probablement effectué par les propriétaires des données.

L’inventaire des données

Une fois que le résultat de cette question d’inventaire des données est connu, il est fort probable qu’un examen complet des « drains » sera entrepris, ce qui conduira à l’élaboration d’un inventaire de données nouveau ou révisé, qui devrait :

  • Être tenu au courant.
  • Être correctement identifié par type (finance, ventes, RH, etc.).
  • Avoir un propriétaire de données approprié pour chaque type de données.
  • Identifiez la valeur du type de données, telles que public, interne à l’entreprise, privé de l’entreprise, personnel et personnel sensible, etc.
  • Identifiez les dates d’archivage et de destruction des données.
  • Identifiez qui ou quel processus peut accéder à chaque type de données et l’utiliser.
  • Identifiez les restrictions d’accès, telles que l’accès interne uniquement, les restrictions d’heure de la journée, si l’authentification à deux facteurs (2FA ou MFA) est requise, etc.
  • Identifiez tous les emplacements où les données de chaque type de données sont stockées ou conservées, ainsi qu’une méthode d’identification de la version des données. Cela doit inclure l’endroit où les données ont été téléchargées sur des PC individuels, copiées sur des disques CD/DVD ou des clés USB, et le stockage d’archives.

Un inventaire révisé des données est disponible – et ensuite?

Une fois que nous aurons cet inventaire de données à jour, comment cela aidera-t-il à traiter et à optimiser la confidentialité des données? En soi, l’inventaire est l’un des outils, mais un outil très nécessaire pour élaborer un plan menant à une infrastructure plus sécurisée.

Un complément essentiel à l’inventaire des données est la stratégie associée à la création d’informations d’identification de l’utilisateur et à la maintenance continue. Ces politiques doivent inclure le moment où les examens sont effectués pour déterminer si un le compte doit toujours pouvoir accéder aux données (et dans quel but) ou s’il s’agit d’un compte périmé et comment les comptes périmés sont traités (supprimés ou désactivés et la période entre la désactivation et la suppression).

D’autres contributions à la sécurisation de l’infrastructure comprendront les plans futurs et l’orientation stratégique de l’entreprise et des différents départements. Ces entrées, en conjonction avec l’inventaire des données, permettront d’identifier les exigences techniques de sécurité pour chaque type de données, par exemple par des paramètres d’authentification et d’autorisation contrôlés par Active Directory (ou équivalent), un stockage physique séparé ou un stockage dédié par pare-feu.

Par exemple, les données des différentes divisions de l’entreprise devront probablement être séparées des données d’autres départements et certaines données jugées sensibles ou secrètes devront être protégées à un niveau plus élevé que les autres données.

L’accès aux données nécessitera qu’un utilisateur ou un processus se présente dans une unité organisationnelle et un groupe spécifiques et dispose du niveau d’autorisation approprié. Des restrictions d’accès supplémentaires pourraient également être appliquées, telles que l’heure de la journée et l’utilisation de la 2FA – par exemple, un utilisateur accédant à des données à partir d’un emplacement distant peut bénéficier d’une vue restreinte des données par rapport à un accès au bureau, sauf si c’est pendant les heures de bureau et que 2FA est utilisé. Ces décisions dépendraient d’une évaluation des risques de chaque type de données par rapport à diverses architectures informatiques et de l’appétit global pour le risque de l’entreprise.

En termes d’infrastructure, les données départementales générales peuvent généralement être séparées en limitant l’accès par unité organisationnelle et/ou paramètres de groupe dans Active Directory (AD ou équivalent), bien que dans certains cas, les données départementales puissent devoir être conservées dans des magasins de données physiquement séparés. Ce qui peut être fait à n’importe quelle donnée peut être contrôlé par les paramètres de rôle d’autorisation dans AD.

En ce qui concerne les données sensibles et secrètes, le contrôle d’accès sera soumis à ces mêmes paramètres, mais l’accès serait également limité aux personnes ou groupes de personnes spécifiquement autorisés et aux adresses IP potentiellement spécifiques. Il est également probable que les données soient séparées des autres données par des moyens physiques. La raison en est que le support de stockage en fin de vie ou en mode de défaillance doit être détruit à un niveau supérieur à celui des supports de stockage utilisés pour les données non sensibles.

Principaux points à retenir

  • Vous devez savoir où les données sont stockées et utilisées, car si vous ne le savez pas, vous ne pouvez pas les contrôler.
  • Le propriétaire des données est essentiel pour identifier et contrôler qui ou quel processus peut accéder aux données et les utiliser.
  • Comprendre la valeur des données et comprendre comment différentes techniques de sécurité peuvent protéger les données est essentiel pour développer une évaluation des risques et, en fin de compte, l’architecture de sécurité choisie.
  • Les contrôles d’accès des utilisateurs et des processus doivent être basés sur une base stricte de « besoin de savoir ». Ce n’est pas parce qu’une personne est un cadre supérieur qu’elle a besoin d’accéder à tous les fichiers ou éléments de données de son entreprise, de son unité organisationnelle ou de son service.
  • Les contrôles d’accès doivent idéalement tenir compte du point d’origine d’un utilisateur ou d’un processus et éventuellement de l’heure de la journée. 2FA pour les utilisateurs est un moyen précieux d’améliorer la sécurité du réseau et la confidentialité des données en améliorant considérablement l’accès à l’infrastructure d’une entreprise.
  • Les informations sensibles et secrètes doivent être conservées séparément des autres données et, idéalement, dans un magasin physique séparé. L’accès à ce type de données doit également être limité aux points d’origine connus, par exemple l’autorisation non seulement à un service, mais aussi aux utilisateurs ou groupes d’utilisateurs dûment autorisés au sein d’un service. En outre, un point d’origine autorisé peut être requis, tel que des adresses IP connues.

Enfin, n’oubliez pas les bases :

  • L’infrastructure informatique doit être entièrement documentée, y compris, mais sans s’y limiter, tous les services externalisés, les licences, l’aménagement des bâtiments (salles informatiques, placards de câblage, etc.).
  • Tous les points d’accès externes à l’infrastructure (via l’Internet public et des tiers) doivent être correctement pare-feu avec des zones démilitarisées avec des dispositifs de type proxy fournissant une couche d’isolation entre les processus internes de l’entreprise et le monde extérieur.

Vous devrez également vous assurer que :

  • Tous les logiciels (et micrologiciels) sont à jour.
  • Les correctifs de sécurité sont appliqués en temps opportun.
  • Des outils antivirus et de prévention des attaques de logiciels malveillants sont en place, opérationnels et maintenus.
  • Un processus de surveillance de la sécurité est en place et il est utilisé.
  • Un programme régulier de contrôles de la sécurité informatique et de tests d’intrusion externes est en place.
  • Le personnel informatique et de sécurité fait partie d’un programme continu de développement professionnel.
  • Qu’un coUn programme de sensibilisation à la sécurité à l’échelle de l’entreprise est en place et maintenu.
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance