LEBIGDATA.FR I.A, Cloud & Cybersécurité
L'évolution constante du numérique nécessite un programme de sécurité fiable pour protéger les informations sensibles des particuliers, des entreprises et des organisations. Encore faut-il les identifier et les classer de manière proactive pour trouver le meilleur moyen de les sécuriser.
Qu'est-ce qu'une information sensible ?
Pour le dire simplement, les informations sensibles sont globalement celles identifiées comme confidentielles. Autrement dit, des informations inaccessibles à des tiers sauf autorisation expresse. Ces données doivent être protégées contre tout accès non au
D'un point de vue légal, les informations sensibles sont décrites comme des données qui doivent être protégées contre la divulgation non autorisée. Ce type de données inclut entre autres les PII (informations personnellement identifiables) ou encore les PHI (informations de santé protégées).
Selon le RGPD, les données sensibles contiennent des informations qui identifient directement la personne. Il peut aussi s'agir de données pseudonymes qui ne permettent certes pas l'identification personnelle, mais être utilisées pour la détection de modèles de comportement individuel.
Les données sensibles relèvent de plusieurs catégories parmi lesquelles :
- les informations portant sur l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques
- les données indiquant une appartenance syndicale
- les informations génétiques et les données biométriques utilisées pour identifier un individu
- les données de santé et médicales
- les informations relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne.
D'autres informations classées sensibles nécessitent une protection particulière. C'est le cas des :
- données bancaires comme le numéro de compte et des cartes de crédit
numéros de sécurité sociale
informations gouvernementales. Il s'agit de tout document classé secret, à diffusion restreinte
- certaines informations commerciales comme les données comptables, les secrets commerciaux, les états financiers et toute information connexes
- données personnelles comme l'adresse, le numéro de téléphone, le numéro de permis de conduire, etc.
Plusieurs degrés de sensibilité
Une raison éthique ou légale peut justifier la nécessité d'imposer des restrictions plus strictes à l'accès aux données personnelles ou sensibles, en particulier lorsque les informations relèvent de la vie privée et des droits de propriété.
Une violation de données dans une organisation gouvernementale pourrait par exemple exposer des secrets gouvernementaux à des puissances étrangères. Il en va de même pour les données individuelles ou d'entreprise. Exposées, celles-ci pourraient présenter de graves risques d'espionnage, de fraude à l'assurance, d'atteinte à la vie privée, etc.
Il existe différents degrés de sensibilité des données. Leur classification peut être déterminée par les réglementations fournies par les commissions de contrôle de la sécurité.
Cette mission incombe aussi parfois au responsable de la sécurité de l'information d'une entreprise ou d'une organisation.
Dans l'univers de la cybersécurité, le modèle CIA (triade confidentialité, intégrité et disponibilité) fait partie des meilleurs outils pour mesurer le degré de sensibilité d'une donnée. Ce modèle bien connu permet de réfléchir à l'impact d'une violation de données sur un individu, une entreprise, une organisation.
Protéger les données sensibles : les interventions en amont
L'accès non autorisé ou la perte de données sensibles peut présenter des risques financiers ou juridiques majeurs. Cela peut aussi impacter gravement une réputation. Raisons pour lesquelles la protection des données sensibles reste vitale.
Avant de mettre en place les politiques et les stratégies de protection, entreprises et organisations doivent au préalable :
Identifier et localiser les données sensibles
Les entreprises doivent trouver comment identifier leurs données et comment les localiser dans la base de données.
Une identification manuelle est quasiment impossible sans parler de la perte de temps que cela peut engendrer. Mettre en place un système d'IA pour la classification permettra d'automatiser le processus et de bénéficier d'une grande précision.
Comprendre la conformité des données et les lois sur la confidentialité
Une fois les informations sensibles identifiées, l'équipe de sécurité doit comprendre comment l'entreprise ou l'organisation prévoit de les utiliser et les protéger conformément aux lois sur la confidentialité des données comme le RGPD.
Surveiller les données en temps réel
Les données se déplacent rapidement. L'équipe de sécurité doit être en mesure d'observer et d'évaluer les risques tout aussi rapidement. Elle doit être capable de surveiller l'ensemble du paysage des données en temps réel.
Assurer la sécurité générale du réseau
Il est tout aussi important d'identifier les ordinateurs, les serveurs où sont stockées les informations sensibles ainsi que toutes les connexions utilisées et affiliées au réseau. Il faut prendre le temps d'évaluer la vulnérabilité de chaque connexion aux attaques connues et raisonnablement prévisibles.
Installer pare-feu et antivirus
Le pare-feu est l'une des premières lignes de défense d'un réseau en l'isolant d'un autre. Ces dispositifs empêchent le trafic indésirable d'entrer. Les firewalls font aussi obstacle à l'usage de certains ports, ce qui limite la marge de manœuvre aux pirates pour accéder aux données et les télécharger.
Selon la politique de pare-feu, celui-ci peut interdire complètement une partie ou l'ensemble du trafic. Cette solution effectue également une vérification sur tout ou une partie du trafic. Particuliers et entreprises ont le choix entre les pare-feu en tant que systèmes autonomes, ou ceux intégrés à d'autres dispositifs d'infrastructure (routeurs, serveurs …).
Le logiciel antivirus fait aussi partie des outils de sécurité les plus largement utilisés pour un usage personnel et professionnel. Il existe de nombreux fournisseurs de logiciels antivirus, mais tous utilisent à peu près les mêmes techniques pour détecter le code malveillant, à savoir les signatures et l'heuristique.
Les solutions antivirus aident à détecter et à supprimer les chevaux de Troie, les rootkits et les virus qui peuvent voler, modifier ou endommager les données sensibles.
Crypter les informations sensibles pour les protéger
Le cryptage des données permet aussi de sécuriser les informations sensibles. Il consiste à stocker les informations de manière non visible à l'œil nu, sauf si le mot de passe ou l'algorithme qui les chiffre est connu.
Le chiffrement se fait grâce à des logiciels. Les outils avec un algorithme complexe restent les plus performants. Le cryptage des données permet de maintenir la confidentialité des données à 100 %, même en cas de vol. Il existe deux types de cryptage :
Le chiffrement symétrique
Cette technique consiste en un mot de passe qui sert à la fois à chiffrer et à déchiffrer. Cela peut poser des problèmes si l'expéditeur et le destinataire du document crypté communiquent le mot de passe sur un support non sécurisé.
Le chiffrement asymétrique
Ce cryptage dispose d'un mot de passe à chiffrer et d'un autre à déchiffrer. Le premier est public, le second privé. C'est une méthode plus sûre.
Sauvegarder et restaurer les informations sensibles
Une solution de sauvegarde et de récupération aide les organisations à se protéger en cas de suppression ou de destruction de données. Tous les actifs critiques doivent être dupliqués périodiquement.
La sauvegarde vise à fournir une redondance afin de restaurer rapidement les informations sensibles. Et ce, en cas de panne de serveur, de suppression accidentelle ou de dommages malveillants causés par un ransomware ou d'autres attaques. Les responsables doivent prendre soin de ne jamais sauvegarder les informations sensibles au même emplacement que les fichiers d'origine.
Détecter les violations
Utiliser un système de détection d'intrusion permet aussi d'apporter une couche de protection supplémentaire aux informations sensibles. Pour être efficace, le dispositif doit être mis à jour régulièrement.
En parallèle, les experts en cybersécurité recommandent de conserver des fichiers journaux centraux des informations relatives à la sécurité pour surveiller l'activité sur le réseau. Cela permet de repérer et répondre aux attaques. En cas d'attaque, le journal fournira des informations permettant d'identifier les ordinateurs compromis.
Il faut aussi surveiller le trafic entrant pour détecter les signes de piratage. L'équipe de sécurité doit également garder un œil sur les points suivants :
- l'activité des nouveaux utilisateurs
- les tentatives de connexion multiple d'utilisateurs ou d'ordinateurs inconnus
- le trafic supérieur à la moyenne et à des plages horaires inhabituelles.
Créer un plan de réponse aux incidents de sécurité
Un plan de réponse aux incidents met à disposition du personnel les procédures appropriées pour faire face efficacement à une menace en cas d'incident. Ce dispositif permet de prendre les bonnes décisions et de ramener la situation sous contrôle.
Le plan de réponse aux incidents sera composé de critères clés qui peuvent être développés au fur et à mesure que la posture de sécurité d'une entreprise mûrit. Voici quelques bonnes pratiques à avoir pour se prémunir des violations de données et autres incidents de sécurité :
- Créer des Playbooks pour guider le SOC (Security Operations Center) sur la manière de trier divers incidents et de rassembler les preuves pertinentes
- Effectuer des exercices et des simulations de cybermenaces.
- Effectuer une recherche proactive d'activités suspectes sans attendre les alertes de menaces.
Définir les contrôles pour protéger les informations sensibles
Pour les risques qu'une entreprise ou une organisation choisit d'accepter ou d'atténuer, il faut définir des contrôles appropriés pour empêcher l'accès non autorisé aux informations sensibles.
Une entreprise comptant plus d'un employé collecte par exemple des PII dans le cadre de ses opérations de ressources humaines. Une entreprise ne peut refuser de collecter, de transmettre ou de stocker ces informations. Par conséquent, elle doit mettre en place des contrôles d'atténuation qui empêchent les acteurs malveillants d'y accéder ou de les acquérir
Et dans la mesure où les cybercriminels mettent régulièrement à jour leur tactique d'attaque, les entreprises doivent agir en conséquence. Un contrôle efficace aujourd'hui peut devenir obsolète demain. Il faut donc vérifier régulièrement l'efficacité des contrôles mis en place.
Conclusion
Beaucoup négligent encore aujourd'hui de mettre en place les mesures de sécurité appropriées, croyant fermement que leur entreprise ne constitue pas une cible potentielle pour les cybercriminels.
Il faut pourtant garder en tête que tout le monde, particulier comme les entreprises de toute envergure, peut subir à tout moment un incident de sécurité ou une attaque. Accepter cette réalité est un premier pas vers la protection des informations sensibles.
Chaque information est précieuse, peut être vendue et intéresse les cybercriminels. La protection de ces données est importante pour protéger l'entreprise ou l'organisation, la réputation, les employés, les clients, les partenaires et toutes autres parties prenantes.
- Partager l'article :
