Comment gérer les risques liés aux données en 9 recommandations

Le risque lié aux données est une préoccupation majeure pour les organisations, car les informations sensibles et critiques de l’entreprise peuvent être compromises par un simple accès à une application ou une base de données, des utilisations ou transferts non-autorisés.

Les employés et les partenaires étant la source majeure de menaces, il est essentiel pour les organisations de mettre en place des mesures solides de sécurité des données.

Khalid Boujdaa, Enterprise & Data Architect, Cloud innovation Partners, a accepté de partager ses 9 recommandations. A suivre de près !

Quatre questions à considérer

• Combien d’employés de votre organisation ont accès aux données sensibles dont ils n’ont pas réellement besoin pour leur activité « business as usual » ?
• Comment gérez-vous et sécurisez-vous les données sensibles stockées dans les applications SaaS ?
• Connaissez-vous toutes les données sensibles dont dispose votre organisation et où sont-elles stockées ?
• Comment surveillez-vous les risques liés aux données dues par les menaces internes ?

Selon un rapport de Gartner, pas moins de 30% des employés ont accès aux données sensibles dont ils n’ont pas réellement besoin pour leur travail. Une étude de Forester a révélé que 40% des violations de données sont dues à des menaces internes, les employés et les partenaires étant les principales sources de ces menaces. Pour atténuer ces risques, les organisations doivent mettre en place des contrôles d’accès solides, évaluer et surveiller régulièrement leurs données.

Dans le secteur de la santé, le coût moyen d’une violation de données est de 7,13 millions de dollars par violation. Le secteur de la santé présente le taux le plus élevé de données non structurées à risque, plus de 75 % des données étant accessibles à tous les employés. Pour remédier à ce problème, les organismes de santé doivent mettre en place des contrôles d’accès stricts et s’assurer que les données sensibles ne sont accessibles qu’aux employés qui en ont réellement besoin.

Le secteur financier est également vulnérable aux violations de données, les données financières sensibles étant souvent réparties sur plusieurs systèmes. Les organisations financières comptent souvent un nombre élevé d’utilisateurs privilégiés, qui ont accès à des données sensibles, ce qui accroît le risque de violation des données. Pour atténuer ces risques, les organisations financières doivent mettre en place des contrôles d’accès solides et s’assurer que les données sensibles ne sont accessibles qu’aux employés qui en ont réellement besoin et d’interdire les emails avec attachements  (emails avec fichiers csv/xls, on en a tous vu et revu !).

Les applications SaaS (Software as a Service) sont également une source importante de risque pour les données. Les applications SaaS ont parfois des contrôles de sécurité faibles, laissant les données sensibles vulnérables aux violations. Pour remédier à ce problème, les entreprises doivent s’assurer que les applications SaaS sont configurées de manière sécurisée et que les données sensibles sont protégées. En outre, elles doivent être conscientes de toutes les données qu’elles ont stockées dans les applications SaaS et mettre en place un plan pour les gérer et les sécuriser (access listes etc.…).

Les 9 recommandations à suivre

Voici quelques recommandations à prendre en compte :

• Ayez connaissance de toutes les données sensibles dont dispose votre organisation et de l’endroit où elles sont stockées
• Mettez en place des contrôles d’accès robustes pour que les données sensibles ne soient accessibles qu’aux employés qui en ont réellement besoin
• Évaluez et surveillez régulièrement vos données pour identifier et atténuer les risques potentiels
• Mettez en place un plan pour gérer et sécuriser les données sensibles stockées dans les applications SaaS
• Surveillez les risques liés aux données causés par les menaces internes
• Ne partagez plus les données réelles/production avec les développeurs et partenaires informatiques. Aucune exception !
• Commencez à utiliser des données synthétiques au lieu des données réelles dans les projets data-driven, afin de minimiser le risque d’exposition des données sensibles
• Mettez en œuvre le SSO (Single Sign-On) pour toutes vos applications, tant en interne que dans le cloud, y compris les applications SaaS, afin d’améliorer la sécurité de vos données
• Automatisez vos processus JML (Joiners, Movers, Leavers)

Le risque lié aux données est une préoccupation majeure pour les organisations, car les informations sensibles et critiques pour l’entreprise peuvent être compromises par un accès, une utilisation ou une divulgation non-autorisés. Les employés et les partenaires sont une source majeure de menaces, et les organisations doivent mettre en place des mesures robustes de sécurité des données.

En mettant en place de solides contrôles d’accès, en évaluant et en surveillant régulièrement les données, en cessant de partager des données réelles ou de production avec les développeurs et les partenaires informatiques, et en ayant connaissance de toutes les données sensibles dont dispose l’organisation, celle-ci peut gérer efficacement les risques liés aux données.