Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité des données : 5 dispositions à prendre pour les entreprises avant le changement de législation européenne, les conseils de SafeNet

décembre 2011 par SafeNet

Julien Champagne, Directeur des ventes SafeNet France, Espagne et Portugal, tire les enseignements d’une année difficile sur le point de vue de la sécurité des données, et l’impact d’un éventuel changement du cadre législatif.

Cette année 2011 aura été marquée par un grand nombre de failles de sécurité, et ce phénomène indique clairement la nécessité d’une réglementation et d’un contrôle plus stricts sur le marché de la sécurité des données. Ces failles ont érodé la confiance des consommateurs en la capacité des entreprises à protéger leur données personnelles : dans le futur les décideurs vont devoir prendre la protection des données beaucoup plus au sérieux, afin que le grand public ne perde pas confiance en l’économie numérique.

D’autant que le grand public pourrait bientôt découvrir que le nombre de failles de sécurité est beaucoup plus important que l’on imagine, puisque les organisations publiques et privées pourraient bientôt être frappées d’une obligation législative de reporter aux autorités compétentes les failles de sécurité, et les pertes de données qu’elles provoquent.

En effet, la commission européenne prévoit de rendre obligatoire le rapport des failles de sécurité comme l’a déclaré Vivian Reeding, Vice Présidente de la Commission Européenne, en juillet dernier : « Les entreprises devraient renforcer leurs précautions contre le vol d’identité et mieux protéger les données personnelles des consommateurs. Elles devraient immédiatement notifier les violations de sécurité des données et de confidentialité. J’ai l’intention d’introduire la condition obligatoire de notifier les violations de sécurité des données pour tous les secteurs. ». La Commission Européenne prévoirait également d’appliquer des sanctions financières, sous forme d’amendes pouvant aller jusqu’à 5 % du chiffre d’affaires pour les sociétés ayant perdu des données privées.

Les entreprises ne devraient pas attendre un changement du cadre législatif pour agir, et vraiment travailler à limiter les conséquences d’une brèche de sécurité, en faisant en sorte par exemple, que les données perdues ou volées aient été chiffrées au préalable, et les clés de chiffrement utilisées tenues à l’écart des cybercriminels.

Cependant, le talon d’Achille reste l’humain, les emails, les pièce-jointes ouvertes, car nous faisons confiance à la personne qui nous l’envoie, ou parce que le contenu nous parait authentique. C’est pourquoi une approche défensive multicouche devient critique, et permet de contrer les attaques qui exploitent les failles humaines et la crédulité des utilisateurs en protégeant la donnée elle-même.

Mais nous devons également ne pas oublier que l’infrastructure elle-même doit être protégée. La principale leçon à retenir suite à l’avalanche de failles de sécurité est la nécessité de déployer le chiffrement et de sécuriser les clés de chiffrement elles-mêmes pour atténuer les dommages générés par ce type d’attaque.

Voici les 5 dispositions que SafeNet recommande aux entreprises de prendre avant même le changement du cadre législatif :

1/Chiffrer et tokeniser les données critiques qui bougent… et qui ne bougent pas non plus !

Le chiffrement est le meilleur moyen de sécuriser les données. Que ce soit dans un datacenter ou sur un appareil mobile. Il protège les données en mouvement et celles qui ne le sont pas. En effet, les dommages causés par les failles récentes auraient été moindres si les entreprises avaient observé cette étape. A l’inverse des technologies DLP, le chiffrement est plus simple à mettre en place par les équipes IT puisqu’il ne repose pas sur le long processus de classification de données, qui repousse souvent les projets.

2/ Améliorer le contrôle des données grâce à l’authentification forte

Fournir aux travailleurs en télétravail ou aux collaborateurs externes une authentification forte permet de s’assurer que seules les personnes, les ressources et les applications autorisées accèdent aux informations.

3/ Privilégier une approche unifiée

Les appareils mobiles présentent un risque majeur, puisqu’ils peuvent être facilement perdus ou volés. La mise en œuvre unifiée des programmes d’authentification, des politiques de sécurité et d’un contrôle des informations d’identification pour les terminaux appartenant aux salariés permet de limiter les effets négatifs de la « consumerisation » de l’IT.

4/ Sécuriser l’infrastructure elle-même

Prendre des mesures concrètes pour sécuriser l’infrastructure elle-même en utilisant des modules de sécurité matériels, « Hardware Security Modules », qui garantissent la protection des clés de chiffrement numériques. Ainsi, même si le hacker pénétrait le réseau, il ne pourrait toujours pas accéder aux clés !

5/ Envisager le chiffrement comme un service IT

Chiffrer ses données peut se révéler déroutant et compliqué à envisager, mais de nombreuses entreprises, en raison de la modernisation des datacenters, commencent à centraliser le chiffrement et à fournir « le chiffrement comme service IT ». Un service IT de chiffrement centralisé permet aux équipes de gérer l’ensemble de l’aspect « protection des données ». Ainsi, on évite que différents services ou filiales d’une même entreprise ne créent et ne gèrent leur propre chiffrement. Cela permet de gérer et d’auditer plus facilement la sécurité de l’entreprise. Autre avantage supplémentaire : la gestion centralisée des clés. L’un des plus grands inconvénients lorsque chaque service ou filiale d’une entreprise applique le chiffrement des données de son côté est la prolifération des clés de sécurité. En les centralisant, on assure une gestion plus efficace de ces clés.


Voir les articles précédents

    

Voir les articles suivants