Les nouvelles réalités de la protection des données
Qui gère les données, qu'est-ce qui accède aux données et où les données sont-elles stockées ?
Aussi difficile à croire que ce soit, il fut un temps où toutes les données étaient stockées localement (quand elles l'étaient !). Or, de nos jours, les données traversent de nombreux domaines. L'essor du travail hybride, l'accroissement de l'utilisation de l'IA et la migration constante des applications et des données vers les environnements cloud ont contribué à disperser les données au sein des clouds publics et des datacenters sur site.
Ce caractère distribué des données stockées complique énormément la sécurité et la conformité réglementaire. Ce caractère distribué des données stockées complique énormément la sécurité et la conformité réglementaire.
Comment votre entreprise peut-elle gérer et protéger vos données tout en assurant votre conformité ? Concentrez-vous sur les aspects fondamentaux de vos données : qui, quoi et où.
1. Savoir qui accède aux données
Pour que les entreprises puissent fournir des services à leurs clients, les humains ou les systèmes doivent lire et traiter les données de leurs clients.
Toutefois, afin de prévenir les violations et de préserver la conformité, les entreprises doivent disposer de règles strictes concernant les utilisateurs autorisés à consulter vos données et à y accéder. Une entreprise peut ainsi avoir besoin des numéros de carte bancaire de ses clients afin de traiter les paiements, par exemple. Or, le nombre de systèmes internes ou d'utilisateurs ayant accès à ces numéros doit être minime.
La difficulté tient au fait que les entreprises doivent sécuriser les données, tout en permettant aux utilisateurs autorisés d'y accéder. Et ils doivent le faire dans un environnement numérique qui évolue rapidement et où les utilisateurs internes peuvent accéder aux systèmes depuis n'importe où et sur presque n'importe quel appareil. Pour des besoins d'audit, ils doivent également assurer un suivi des personnes ou machines ayant accédé aux données et de la date d'accès.
Le contrôle des accès était plus simple lorsque le travail était lié à la position géographique : les sous-traitants et les collaborateurs sur site étaient connectés à un réseau interne, souvent étroitement contrôlé. Toutefois, il est impossible d'essayer de faire évoluer les VPN afin de les adapter à la nature mondiale et éloignée de l'entreprise moderne.
Les équipes chargées de l'IT et de la sécurité ont besoin d'un moyen évolutif pour s'assurer que seuls les collaborateurs désignés (et eux seuls) puissent traiter les données sensibles, même au sein d'environnements de travail hybride.
2. Savoir ce qui accède aux données
Les grands modèles linguistiques (LLM, Large Language Models) peuvent vous aider à accroître votre productivité. Toutefois, les RSSI du monde entier se réveillent probablement en sueur lorsqu'ils pensent aux données de leurs clients saisies dans ChatGPT ou aux systèmes de fichiers internes dans LLaMa (et ces exemples sont loin d'être de simples hypothèses). La transmission de données confidentielles hors d'un environnement sécurisé est un cauchemar pour la sécurité.
Toutefois, le transfert de données vers une plateforme tierce non autorisée n'est pas le seul aspect à contrôler dans les systèmes et les plateformes qui traitent les données. Les appareils infectés par des logiciels malveillants, ou simplement insuffisamment sécurisés, peuvent engendrer des violations.
La prolifération du Software-as-a-Service (SaaS, logiciels en tant que service) constitue une autre menace pour les données. Les outils SaaS tiers peuvent aspirer (voire faire fuiter) des données confidentielles sans que les équipes chargées de l'IT et de la sécurité s'en rendent compte.
Étant donné les lacunes en matière de visibilité, la prolifération des déploiements cloud et la « lassitude vis-à-vis des alertes » qui viennent du caractère hétéroclite de l'ensemble de systèmes, réseaux et solutions de sécurité, il devient plus difficile que jamais de vérifier ce qui touche aux données.
3. Savoir où accéder aux données
La quantité de données générées et stockées continue de croître de manière exponentielle. Nous sommes aujourd'hui durablement entrés dans l'ère du multi-zettaoctets. Les nouvelles sources de données, comme l'Internet des objets (IoT), génèrent des données en continu et les collections de big data sont essentielles pour entraîner les outils d'apprentissage automatique (Machine Learning) et les modèles IA.
Ces données parcourent le monde entier et sont souvent stockées de manière décentralisée. De nombreuses entreprises stockent des données dans différents déploiements cloud et emplacements physiques. De plus, la conception souvent cloisonnée du stockage des données rend difficile toute visibilité sur la nature des données et l'endroit où elles se trouvent.
Par ailleurs, le fait que les effectifs et les clients sont aujourd'hui répartis dans le monde entier ajoute encore de la complexité. Un employé peut accéder aux données stockées à partir d'un réseau d'entreprise interne depuis le siège social d'une agence, ou depuis l'autre bout du monde. Et les données confidentielles peuvent avoir traversé un certain nombre de régions et de multiples réseaux non sécurisés avant d'atteindre l'infrastructure de stockage du backend d'une organisation, ce qui augmente les risques de violation. Il arrive que toutes ces régions soient également soumises à des réglementations distinctes et qui leur sont propres en matière de confidentialité des données.
À la lumière de ces informations, il est facile de comprendre les raisons pour lesquelles l'endroit où se situent les données complique la conformité et la sécurité. De même, il est difficile d'assurer la protection des données d'une manière conforme aux normes de sécurité dans tous les endroits où elles sont stockées, sans même parler du moment où elles sont en transit.
Une plateforme cloud dotée de mesures composables de contrôle de la sécurité
Pour protéger les ensembles de données dispersés, les équipes IT et les équipes chargées de la sécurité doivent appliquer des politiques partout et à tous les niveaux, sur l'ensemble de l'infrastructure et en amont de toutes leurs applications. Le cloud de connectivité est la solution.
Cette plateforme unifiée basée sur le cloud vous permet d'appliquer des fonctionnalités de sécurité au sein de vos environnements cloud et sur site, ainsi que sur l'ensemble du spectre qui sépare ces deux approches. Vous bénéficiez ainsi de mesures de sécurité qui vous permettent de vous connecter, de vous protéger et de développer en toute sécurité, quel que soit l'endroit où résident vos données. Répondez aux exigences de conformité d'une vaste gamme de règlements, cadres et normes, notamment la PCI DSS et la loi HIPAA, parmi bien d'autres.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Vous trouverez davantage d'informations sur la marche à suivre pour simplifier les tâches informatiques et de sécurité essentielles dans notre e-book intitulé Le cloud de connectivité : un moyen de reprendre le contrôle de votre sécurité et de vos ressources IT.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Les effets de la modernisation numérique sur les données
Les bonnes pratiques en matière de gestion des données : qui, quoi et où ?
La manière dont le cloud de connectivité vous offre de la visibilité et sécurise vos données