Avec la diffusion des violation de données, de plus en plus d’entreprises se posent la question de la sécurité intérieure. Cependant, lorsque l’on aborde le sujet, la première question qui se pose n’est pas celle de la protection des données internes, mais celle du statut général de sécurité du réseau informatique.
Cette approche est à la mode et il est peut-être temps pour les organisations privées et publiques d’aller de l’avant et d’adopter une nouvelle approche et de mettre la protection des données sur un pied d’égalité.
À l’heure actuelle, en effet, la plupart des efforts et du budget consacrés à la cybersécurité se concentrent sur la protection du réseau informatique et seulement en second lieu sur les données qu’il contient.
La nécessité d’un changement de paradigme se justifie par certaines raisons fondamentales.
La violation de données et la violation du réseau ne sont pas la même chose – D’un point de vue historique, il est évident que les hackers criminels au niveau mondial ont souvent un avantage stratégique sur ceux qui s’occupent de Cyber Security.
Pour preuve sont quelques-uns des cas les plus évidents des dernières années : la date Breach qui en 2013 a impliqué Adobe, en provoquant la soustraction de 153 millions d’enregistrements relatifs aux utilisateurs, la violation des bases de données Equifax en 2017 avec 148 millions de données de consommateurs dérobés et le cas récent de Solarwinds (fin 2020).
Aucune organisation, même structurée et dotée de ressources économiques et humaines adéquates, ne semble donc être totalement à l’abri de ce risque. Et si les violation de données font la une des journaux, c’est souvent parce que les organisations impliquées n’ont pas réussi à sécuriser les données de leurs clients.
Suivant les traces des années passées, les violations des informations sensibles et de la vie privée des particuliers restent un des sujets les plus « chauds » même pour 2021.
Bien que le terme anglais « data Breach » soit désormais utilisé couramment, les CISO et les CIO continuent de concentrer leurs efforts sur le renforcement de la sécurité des réseaux et seulement en second lieu sur la sécurité des données elles-mêmes.
Les données suggèrent que cette approche n’apporte pas les résultats escomptés. Alors, pourquoi continuer à insister sur cette ligne? D’un point de vue pratique, l’approche actuelle axée sur la protection du réseau ne garantit pas une norme de sécurité acceptable pour les données et les informations (sans compromettre les performances du réseau dans son ensemble).
Il conviendrait plutôt que les CISO commencent à évaluer une séparation du concept de « data security » du réseau en tant que tel, au moyen d’une superposition cryptographique qui protège les informations.
Ainsi, l’intégrité, la fiabilité et la confidentialité des données restent intactes, sans affecter la performance de l’infrastructure informatique.
Comme si cela ne suffisait pas, avec l’entrée en vigueur du RGPD en 2018, il est devenu encore plus évident combien il est important pour les entreprises de protéger leurs données, sous peine de sanctions pécuniaires.
Toutefois, ces sanctions, comme on pourrait le penser, ne sont pas appliquées sur la base de violations des réseaux. En effet, si un Hacker Criminel parvient à pénétrer dans le périmètre de défense de l’entreprise, sans toutefois soustraire les données stockées à l’intérieur de celle-ci, cela ne doit pas être considéré comme une violation.
Le RGPD ainsi que d’autres réglementations (CCPA, HIPAA et PCI-DSS) ont pour objectif la sécurité des données, mais la mise en pratique de ces modalités de protection dépend des cas individuels et du type spécifique d’activité menée par l’entreprise. Mettre la protection de vos données au centre de nos préoccupations sera probablement un type de protection qui n’est jamais démodé, même si d’autres réglementations sont introduites.
Les données font gorge – Suivant la loi féroce de l’offre et de la demande qui domine tout le marché, l’augmentation de l’intérêt sur le marché noir pour les données de valeur a provoqué une augmentation conséquente même des prix. Pour cette raison, pour les CISO et IT Manager, protéger leurs données plutôt que le réseau devrait devenir d’une importance primordiale.
Que peut-on faire concrètement pour protéger les données? Pour commencer, il est essentiel d’inverser l’approche de la sécurité des entreprises afin de mettre la protection des données au premier plan. Toutes les décisions concernant la cybersécurité et les investissements qui y sont liés devraient s’orienter dans cette direction.
Voici donc quelques-unes des questions qu’un CISO devrait se poser avant de choisir le type d’approche à adopter:
- Cette solution protège-t-elle les données où qu’elles se trouvent sur le réseau?
- Cette technologie sera-t-elle efficace même si les cybercriminels peuvent s’infiltrer dans le réseau?
- La stratégie choisie respecte-t-elle les réglementations nationales et internationales? La société est-elle protégée par la loi si une date Breach est atteinte?
La solution mise en œuvre ne sera efficace que si la réponse à toutes ces questions est affirmative. Les entreprises ont le devoir de protéger les données de leurs utilisateurs contre les menaces extérieures, non seulement par crainte de recevoir des sanctions, mais par simple intégrité professionnelle.
Ne baissons pas la garde!
SOURCE: FEDERPRIVACY