Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Journée de la protection des données : les vulnérabilités persistent en entreprise

janvier 2021 par Pierre-Louis Lussan, Country Managaer France et directeur South-West Europe chez Netwrix

La Journée de la protection des données est une initiative lancée par le Conseil Européen en 2006 et célébrée chaque année le 28 janvier. A cette occasion, les gouvernements, les institutions et des associations agissent de concert pour sensibiliser les citoyens aux droits à la protection des données personnelles et de la vie privée. Selon la CNIL, une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ; il peut s’agir du prénom et du nom, d’un numéro de téléphone, d’une plaque d’immatriculation, du numéro de sécurité sociale, d’une adresse postale ou électronique, mais aussi la voix ou l’image.

Pour Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix, au-delà du cadre légal, les organisations doivent faire de la protection des données une priorité compte tenu de l’évolution croissante du nombre de cybermenaces :

« Depuis l’entrée en vigueur du RGPD (Règlement Général pour la Protection des Données) en 2018 au sein de l’Union Européenne, les Français bénéficient d’un encadrement juridique relatif au traitement et à la protection de leurs données. Les entreprises et les citoyens disposent ainsi désormais d’un cadre légal précis concernant la collecte, la gestion et la suppression des données personnelles, et, surtout, au moyen de sécuriser ces dernières de manière optimale.

Au-delà de la conformité, les entreprises ont tout intérêt à faire de la protection des données une priorité. Nous avons en effet assisté à une très forte augmentation du nombre de campagnes malveillantes, ciblant aussi bien des entreprises technologiques, des fabricants pharmaceutiques que des villes, pour ne citer que quelques exemples. Autant de cyberattaques réussies qui démontrent que les vulnérabilités persistent au sein des organisations. Il est donc urgent de faire évoluer sa ligne de défense à mesure que les hackers affinent leurs méthodes.

Pour protéger les informations sensibles contre une exposition inappropriée, il ne suffit pas de comprendre où elles se trouvent dans le système ; il est également essentiel de savoir quelles sont les menaces potentielles et les risques induits. Dans cet objectif, la classification des données par criticité joue un rôle fondamental car elle permet de prioriser la sécurisation des informations les plus sensibles. Trop souvent, les organisations accordent en effet autant d’attention aux données redondantes, obsolètes ou relativement insignifiantes, qu’au contenu de grande valeur qui nécessite une protection renforcée.

En outre, il est clé d’avoir une visibilité totale sur les informations, dont celles critiques stockées en dehors d’un emplacement sécurisé. Mais passer manuellement au peigne fin des structures de données complexes et dispersées sur plusieurs systèmes n’est pas une approche viable car elle est extrêmement chronophage et augmente le risque d’erreur pour les équipes IT. Ces dernières doivent donc bénéficier d’outils automatisés pour scanner les données et déplacer les plus critiques vers une zone de quarantaine sécurisée, jusqu’à ce qu’une décision précise et éclairée soit prise quant à leur utilisation et leur zone de stockage, voire leur suppression. L’automatisation permet aussi d’alerter en temps réel les équipes IT de toute activité suspecte ; qu’il s’agisse d’une connexion à une heure impromptue ou d’un téléchargement massif de données critiques, par exemple.

Une autre vulnérabilité persistante réside dans le fait que de nombreuses entreprises ne savent pas précisément qui a accès à quoi dans leurs serveurs. Cette lacune dans la gouvernance de l’accès aux données pourrait entrainer une brèche et des problèmes de conformité. Les politiques d’accès et les autorisations accordées sont donc à surveiller étroitement afin de s’adapter aux besoins des employés. Il est en effet crucial de leur donner accès uniquement aux données dont ils ont besoin pour mener à bien leurs activités, ni plus ni moins, et de supprimer les droits d’accès obsolètes, notamment lorsqu’un collaborateur quitte l’organisation. »




Voir les articles précédents

    

Voir les articles suivants