À l’ère du numérique, la protection des données organisationnelles sensibles ne peut se contenter d’une simple sécurité physique. Les organisations tirent profit des processus et outils connus, telles que les solutions de gouvernance des accès aux données et des identités, pour faciliter la gestion des personnes ayant accès aux informations sensibles stockées dans des applications structurées telles que les unités centrales et les bases de données.

Mais les systèmes structurés ne constituent pas le seul lieu où les données sensibles sont stockées. Les données non structurées, ou les données stockées dans des fichiers en dehors des bases de données et applications structurées, constituent également un problème croissant pour les organisations. Dans de nombreux cas, les données non structurées ressemblent à des données structurées dans une application, puis sont ensuite déplacées par un utilisateur final dans un format plus pratique. A titre d’exemple, un employé du département finances passe en revue les données financières issues d’une base de données interne et, pour faciliter le partage avec les autres membres de son équipe, les exporte dans un fichier Excel et télécharge le fichier vers un compte Dropbox d’entreprise. Cette exemple illustre bien la vitesse à laquelle les données peuvent passer d’un environnement contrôlé et sécurisé à un emplacement non sécurisé.

Alors comment les organisations peuvent-elles protéger les données sensibles, quel que soit leur emplacement ?

L’utilisation d’une approche intégrée pour la gestion des accès à toutes les applications et tous les systèmes de stockage des fichiers peut-être une solution. Les organisations peuvent ainsi conserver les données en sécurité, qu’elles soient structurées ou non. Cette approche intégrée comporte trois étapes :

• Localiser les données sensibles. Outre les applications et bases de données évidentes qui stockent les données sensibles, les organisations doivent identifier l’emplacement où les données non structurées sont stockées, à la fois au sein du Data center et sur le cloud. En raison de la prolifération des données non structurées, la seule manière réaliste d’en trouver et d’en conserver une trace est d’adopter une solution automatisée pour analyser tous les systèmes et déplacer les données sensibles afin de sécuriser les environnements de stockage.

• Appliquer des contrôles préventifs pour une gouvernance en temps réel. Une fois les données sensibles localisées et stockées de manière adaptée, les organisations doivent mettre en place des contrôles préventifs afin de garantir l’accès aux seules personnes autorisées. Les outils de gouvernance des identités peuvent permettre de recueillir et d’analyser les autorisations pour répondre à la question « Qui a accès à quoi ? ». La gouvernance des identités permet d’assurer que l’accès des utilisateurs se conforme aux règles et rôles lorsque l’accès change au cours du cycle de vie des utilisateurs.

• Mettre en œuvre des contrôles de détection. Définir des contrôles d’accès pour ensuite ne plus y penser n’est pas très efficace. Les organisations ont également besoin de contrôles de détection pour examiner et surveiller l’accès et l’activité en cours des utilisateurs afin de détecter les anomalies. Des mesures telles qu’un examen régulier des accès et la surveillance de l’activité des utilisateurs peuvent signaler les situations potentiellement dangereuses et permettre d’éviter une violation des données.

Alors que protéger les données sensibles semble parfois complexe, la gouvernance des identités peut offrir aux organisations les solutions dont elles ont besoin pour traiter les données sensibles dans l’entreprise, tout en assurant l’équilibre entre la sécurité et l’utilité.