Une cyberattaque pourrait impacter profondément votre entreprise pendant des mois ou des années en seulement quelques minutes. Toute personne malveillante et un peu experte peut pénétrer le réseau de votre organisation, accéder à des données sensibles, individuelles ou globales, et les utiliser à but lucratif ou avec l’intention de nuire. Tout cela dans le même délai que la lecture de cet article.
Des données produites, stockées et accessibles n’importe où
D’après une étude menée par NTT Com Security auprès de 1000 décideurs d’entreprises de plus de 250 salariés en 2019, une attaque avec perte de données massive ferait perdre 773 000 euros en moyenne. Les cyberattaques répétées iraient même jusqu’à diminuer le revenu d’une société de 14% en moyenne. Le rapport précise qu’il faut environ six semaines à une entreprise pour se remettre d’une perte d’information.
Le FBI a publié un rapport détaillé sur les cyberattaques ayant touché les Etats-Unis en 2021, faisant état de 847 376 plaintes recensées, et les pertes liées à ces incidents s'élèvent à 6,9 milliards de dollars pour les entreprises et les personnes américaines victimes de cyberattaques, qu’il s’agisse de simples violations de données ou d’attaques de rançongiciels plus sophistiquées. Un chiffre en augmentation de 7% par rapport à 2020.
Aucun secteur d’activité n’est épargné. Cependant, nous savons que les secteurs de la banque, de la santé, des services numériques et de l’industrie sont les plus ciblés.
Les entreprises sont aujourd’hui confrontées à des questions complexes pour stocker, gérer, contrôler et gouverner leurs données dans un cadre parfaitement sécurisé, une conséquence involontaire de notre connexion permanente et de la prolifération des équipements digitaux. À mesure que notre monde digital évolue en taille et en complexité, les menaces de sécurité sur nos données augmentent exponentiellement.
Ces menaces sont une réalité que toutes les organisations doivent connaître et pour lesquelles elles doivent prendre des mesures d’atténuation des risques. Pour le faire efficacement, il faut adresser 4 domaines : la gouvernance et la sécurité, les modèles techniques de sécurité, les stratégies de stockage, et la formation des collaborateurs.
Pratique 1 : Intégrer la sécurité dans la gouvernance des données
La gouvernance de la donnée est un pilier essentiel dans lequel il faut inclure la démarche de sécurité des données. Les organisations doivent mettre la priorité au soutien de ce pilier autour de la donnée, sinon elles risquent de réduire le contrôle de l’utilisation des données, ce qui entraverait la capacité à bien sécuriser ces mêmes données. Et puisqu’il s’agit du plus haut niveau de pilotage de la données, c’est aussi de confiance envers les données dont il s’agit ici.
Avant tout il est nécessaire d’avoir un inventaire et une cartographie précise de tous les containeurs de données, des flux et des points d’accès finaux, avec un niveau de criticité et de sensibilité connu. On ne peut bien sécuriser que ce que l’on connait.
Pour réduire les cyber vulnérabilités, l’entreprise doit ensuite sécuriser ses flux de données en temps réel. Cela nécessite des mesures globales de détection et de réaction face aux menaces, mises en œuvre au travers de l’intégration, du suivi et du contrôle des données en temps réel.
Pour renforcer la sécurité, il faut également se poser des questions clés sur la source et la traçabilité de chaque flux de données, telles que les possibilités de falsification du flux ou l’état de sécurité d’un ensemble de données à son arrivée en bout de chaîne.
La capacité à gouverner les données de bout en bout et dans un cadre sécurisé est encore plus critique pour les organisations dans des environnements opérationnels fortement contrôlés et sous contraintes, qui doivent respecter de nombreuses règles, normes et réglementations.
Pratique 2 : Sensibiliser et éduquer les utilisateurs
Alors que de plus en plus d’entreprises cherchent à démocratiser et répandre l’accès de leurs données au plus grand nombre d’utilisateurs, rappelons-nous toujours que le potentiel de menaces de sécurité se situe essentiellement dans le périmètre de l’entreprise, c’est-à-dire des employés, clients et partenaires connectés.
Les violations et pertes de données peuvent plus facilement se produire au travers d’attaques directement internes (ou externe avec la coopération d’un employé) ou d’actes simplement involontaires.
Par ailleurs, le chaos provoqué par la pandémie en 2020 et l’évolution de l’environnement professionnel ont donné aux personnes malveillantes de nombreuses opportunités d’utiliser des approches nouvelles pour s’introduire avec succès dans les réseaux de nos entreprises. Des rapports de recherche récents d’IBM ont désigné les rançongiciels comme le plus grand risque de cybersécurité pour les organisations en 2022. En Europe, les attaques d’accès aux serveurs, les ransomwares et le vol de données ont été répertoriés comme les principaux types d’attaques contre les organisations.
Pour toutes ces raisons, les équipes et les employés doivent être bien informées et formées sur la question de la sécurité avec pour objectif de développer leur capacité à réagir, informer et prendre la bonne décision à chaque instant. Vos développeurs, architectes et administrateurs doivent aussi être parfaitement formés et sensibilisés à la sécurité.
Pour être suivi par tous et être efficaces, les sessions et outils de formation doivent être pédagogiques, ludiques et répétitives. Il ne faut omettre personne.
Pratique 3 : Mettre en œuvre une approche zero trust
L’essor de l’adoption du cloud et des pratiques « Bring Your Own Device » (BYOD) dans les entreprises ont élargi les surfaces d’attaque potentielles des données et donc les opportunités d’attaques pour les personnes malintentionnées. Les entreprises ne peuvent plus se permettre de s’appuyer sur les modèles de sécurité réseau traditionnels pour la sécurité des données, basés sur une forte protection périphérique, c’est-à-dire le modèle de sécurité dit « château fort ».
Une architecture zero trust crée un changement de paradigme pour les organisations en appliquant des niveaux élevés et constants de surveillance et de suspicion à toute entité ou appareil interagissant dans le périmètre d’un réseau. Cette architecture suppose que les réseaux sont bloqués par défaut et que chaque interaction ou demande doit être vérifiée par des politiques ou des mécanismes d’accès.
En partant d’autorisations minimales pour chaque rôle, puis en exigeant une authentification sur l’ensemble des points du réseau, les architectures zero trust permettent aux organisations de renforcer la sécurité de leur réseau et d’empêcher les acteurs malveillants de s’introduire plus profondément dans le réseau. C’est le modèle de sécurité dit « aéroport ».
Pratique 4 : Investir dans une plateforme de données avec des capacité de sécurité
L’avenir est probablement hybride. Actuellement, une stratégie de données ne peut plus être unidimensionnelle - ni sur site, ni dans le cloud, ni dans le multi-cloud, mais une combinaison fluide entre eux. Mettre en balance la sécurité des données avec le besoin inhérent d’innovation des entreprises nécessite d’aligner la stratégie de données sur la stratégie cloud et les priorités business, sans négliger la sécurité.
Pour ces usages hybrides et agiles, il faut investir dans des outils de gestion des données pour mettre en œuvre votre politique de sécurité. Idéalement, ces outils doivent être suffisamment évolutifs pour stocker, traiter et contrôler des volumes considérables et croissants de données, diagnostiquer les vulnérabilités pour une action préventive et être assez flexibles pour permettre aux données et aux processus de traitement de se déplacer librement afin de pouvoir faire face rapidement à tout incident sécurité.
En outre, les fonctions de gestion de données avancées telles que le « Machine Learning » (ML) permettent de créer rapidement des modèles adaptatifs capables de réagir automatiquement à des incidents techniques ou attaques et ainsi pouvoir déplacer ou isoler les données ciblées, en minimisant l’impact sur l’entreprise.
Les plateformes dotées de fonctionnalités de sécurité intégrées permettent d’appliquer des politiques de sécurité cohérentes tout au long du cycle de vie des données. En d’autres termes, les organisations doivent construire leurs stratégies et leurs opérations de données en s’appuyant sur la politique de sécurité, et non l’inverse. Engager l’application de la politique de sécurité après la mise en œuvre d’une plateforme de données sera beaucoup plus coûteux et bien moins efficace.
Une vigilance permanente incontournable pour relever les défis de la sécurité des données
Selon une étude récente d’Equinix, les entreprises devraient générer 15000 térabits de données chaque seconde en moyenne d’ici à 2025. Même si toutes les organisations cherchent à exploiter ces données pour innover et se développer, des défis et freins considérables subsistent en matière de sécurisation.
Nous savons tous que les menaces deviendront plus complexes au fur et à mesure de la transformation digitale de notre environnement personnel et professionnel. Risques et menaces internes évoluent continuellement, même si les organisations appliquent une bonne hygiène de sécurité. Les attaquants ne différencient pas les organisations, grandes ou petites, et la moindre vulnérabilité sur vos données qui passe inaperçue pourrait s’avérer dramatique.
Surmonter ces obstacles nécessite une vigilance permanente. Cela suppose un réexamen de la façon dont vous abordez vos pratiques globales et quotidiennes en matière de sécurité des données, et une architecture qui intègre la gouvernance de la sécurité dès sa conception.