Gestion des données

Qu'est-ce que la gestion de la sécurité des données ?

Concept de gestion de la sécurité des données

La pandémie mondiale a poussé de plus en plus de personnes à se tourner vers l'internet (transformation numérique) pour travailler, communiquer, se divertir, regarder des films et la télévision, se socialiser, faire des achats, échanger des informations et bien d'autres choses encore. Le mouvement numérique de millions de personnes a permis aux industries de transformer leur façon de commercialiser ou de fournir des services. Malheureusement, la campagne a également ouvert les portes aux pirates informatiques et augmenté les cas de compromission des données. L'institut Ponemon estime que le coût moyen d'une violation de données s'élève enregistrement 4,96 millions de dollars par incident en termes d'impact et de résolution.

La sécurité des données est désormais l'aspect le plus important de la gestion des données. La transformation numérique a encouragé la saisie de tout ce qu'un individu ou une application fait lorsqu'il est connecté à l'internet, et ce de manière extrêmement détaillée. Les personnes qui travaillent à domicile et qui utilisent divers appareils échappant à la surveillance ou aux outils de contrôle de l'entreprise compliquent encore davantage la bonne gestion de la sécurité des données. Ce qui est encore plus surprenant, c'est la facilité avec laquelle un appareil personnel peut affecter toute une organisation avec un virus informatique ou ouvrir la porte à un pirate informatique. Les réglementations gouvernementales en matière de contrôle des données, telles que le Règlement général européen sur la protection des données (RGPD) ou le Health Insurance Portability and Accountability Act (HIPAA), fournissent des orientations et prévoient des amendes pour obliger les organisations à améliorer la gestion de la sécurité des données. Cependant, la gestion de la sécurité personnelle est peu réglementée.

Qu'est-ce que la gestion de la sécurité des données ?

Il existe de nombreuses définitions de la gestion de la sécurité des données, et les solutions de sécurité des données sont nombreuses. Chaque organisation doit définir et communiquer clairement le programme de sécurité des données et les services de sécurité des données qu'elle offre, car ceux-ci diffèrent légèrement d'un endroit à l'autre. En général, la gestion de la sécurité des données est :

  • La pratique consistant à s'assurer que les données, quelle que soit leur forme, sont protégées contre tout accès non autorisé ou toute corruption lorsqu'elles sont en votre possession et utilisées.
  • La combinaison de processus numériques (cyber) et physiques pour protéger les données.
  • Le contrôle de l'acquisition, de l'utilisation, du stockage, de l'extraction et de la suppression des données de manière à ce qu'elles ne soient pas corrompues à tout moment de leur parcours.
  • La mise en œuvre de défenses technologiques qui empêchent la prévention de la perte de données à la suite d'actions malveillantes internes ou de piratages.
  • Encourager les développeurs d'applications et de services à tester les normes de sécurité des données afin d'améliorer la prévention des fuites de données.
  • Les politiques qui entraîner et régissent les individus sur l'importance de la sécurité des données et sur la meilleure façon de se protéger et de protéger l'entreprise.
  • la sécurité des données échangées avec des applications ou des services externes.
  • Tirer parti de l'utilisation du stockage en nuage crypté ou des réseaux en nuage cryptés pour sécuriser les transferts et le partage de données.
  • La gestion de la sécurité des centres de données, même si vous avantage services en nuage, afin de garantir la sécurité de votre ressource non humaine la plus précieuse.

Les pratiques de gestion de la sécurité des données ne concernent pas seulement les informations sensibles ou critiques pour l'entreprise. Les pratiques de gestion de la sécurité des données vous protègent, vous et votre organisation, contre les erreurs involontaires ou les pirates informatiques qui corrompent ou volent vos précieuses ressources.

Défis en matière de sécurité des données

L'impact le plus important d'une atteinte à la sécurité des données est la perte de clients actuels et potentiels.

Le rapport de l'Institut Ponemon indique qu'une mauvaise gestion des mots de passe ou des informations d'identification et une mauvaise configuration du stockage de données dans le cloud permettant un accès public sont les deux principales causes des atteintes à la sécurité des données. À mesure que les entreprises recueillent et stockent davantage d'informations sur les réseaux numériques, les défis liés à la sécurité des big data et des données en nuage augmentent. Pour éviter les menaces et les problèmes liés à la sécurité des big data, tous les membres de l'entreprise doivent être conscients des problèmes liés à la sécurité des big data et à la protection de la vie privée :

  • Les pratiques de sécurité sont jugées incompatibles avec les méthodes de développement agiles.
  • Une connaissance insuffisante de la manière dont les données circulent dans et à travers une organisation.
  • Les organisations ne savent pas pourquoi les données ont été collectées ou créées, ni comment les conserver pour qu'elles soient conformes.
  • Utilisation abusive du courrier électronique ou d'autres formes de réseaux sociaux ou de communication numérique pour l'échange d'informations (Dropbox ou Zoom partage des données, par exemple).
  • Manque de compréhension de qui a accès à quoi et pourquoi, et de la nécessité de maintenir ces connaissances à jour lorsque les rôles changent ou que des personnes quittent l'entreprise.
  • Permettre que des données soient oubliées (anciennes ou périmées), ce qui représente une opportunité de violation de données ou d'amendes.
  • Sécurité et protection du réseau immatures (absence de cryptage adéquat, de pare-feu et d'analyse de la vulnérabilité).
  • Report des mises à jour des applications qui incluent des correctifs de sécurité.
  • Absence de capacité à contrôler la façon dont le personnel travaillant à domicile interagit ou partage des données.
  • Permettre la création d'applications non gérées au lieu d'améliorer les applications afin de faciliter l'utilisation et l'échange de données pour les tâches des employés.
  • les réseaux domestiques, le partage d'appareils mobiles ou l'accès aux réseaux d'entreprise à partir de points d'accès publics sans l'utilisation d'un réseau privé virtuel sécurisé (VPN).

Meilleures pratiques en matière de sécurité des données

Les défis sont considérables, mais voici les meilleures pratiques recommandées en matière de sécurité des données que les organisations peuvent adopter et adapter pour prévenir les violations de données, les pertes de données, les fuites de données ou pour éviter les menaces de cybersécurité :

  • Un audit complet des données pour cartographier le cycle de vie et la lignée des données dans votre organisation, de l'acquisition à la suppression. Une fois l'audit réalisé, les données inappropriées doivent être nettoyées ou supprimées afin d'éviter tout incident lié à la sécurité ou à la conformité.
  • Les meilleures pratiques en matière de classification des données consistent à maintenir un catalogue de données à l'aide de la gestion des données maîtresse gestion des données et des métadonnées. Les métadonnées, qui agissent comme les cartes d'une bibliothèque, aident les applications ou les services à savoir quelles données utiliser et comment les sécuriser correctement pendant ou après leur utilisation. Cela sous-tend les meilleures pratiques en matière de sécurité des bases de données.
  • Restreindre l'accès aux données en fonction de leur utilisation et de leur sensibilité.
  • Accéder aux données uniquement par le biais d'API ou d'applications approuvées.
  • Une mentalité de confiance zéro devrait être utilisée pour évaluer tous les profils qui accordent une autorisation aux données en posant la question suivante : ce rôle ou ce service nécessite-t-il encore un accès et, si oui, pourquoi ?
  • Toutes les données conservées dans des dispositifs physiques résidant dans votre centre de données ou dans un nuage doivent faire l'objet des mêmes pratiques de sécurité rigoureuses que celles qui s'appliquent aux logiciels et aux services en nuage, y compris la surveillance, l'alerte et le signalement de toute tentative d'accès, quelle qu'en soit la raison.
  • Les meilleures pratiques de cryptage des données, bien qu'elles ne soient pas infaillibles, constituent l'une des méthodes les plus sûres pour garantir la sécurité des données, en particulier lorsqu'elles sont associées au cryptage du transfert des données.
  • Les menaces à la cybersécurité sont constantes et les méthodes d'acquisition de vos données évoluent pour déjouer vos défenses de sécurité. L'analyse et le test continus des vulnérabilités vous aideront à rester en sécurité.
  • Les meilleures pratiques en matière de sécurité des bases de données impliquent de gérer les schémas de manière à répondre aux besoins des applications, tout en établissant un lien étroit avec les meilleures pratiques et les contrôles en matière de gestion des accès.
  • Les données numériques utiliseront analytique dans le cloud pour la recherche et la prise de décision. Les meilleures pratiques de sécurité de Power BI analyseront et valideront les données avant leur utilisation afin de maintenir l'intégrité et la classification des données.
  • L'apprentissage et l'application des meilleures pratiques en matière de sécurité des données avec le personnel ou en utilisant les guides des fournisseurs de sécurité peuvent aider à montrer à quel point il est facile de succomber aux efforts d'un pirate informatique.
  • Le masquage des données (masquer les données originales avec un contenu modifié) pour le développement de services est une bonne pratique DevSecOps, en particulier pour les informations personnelles identifiables (PII).
  • avantage d'experts externes qui testent vos réseaux, vos applications ou vos services en nuage pour vérifier la sécurité des données. Certaines entreprises ont même engagé des pirates informatiques pour effectuer ces mêmes activités.
  • Disposer d'un plan de gestion des incidents indiquant précisément ce qui est censé se produire et comment la violation doit être communiquée en interne et en externe (en particulier aux clients et aux organismes de réglementation).
  • Disposer d'un plan de récupération des données testé pour les cas où des données sont supprimées ou corrompues par inadvertance.
  • Veiller à ce que les applications ou les services puissent utiliser n'importe quelle sauvegarde de données, même celles qui ont été créées des années auparavant, pour répondre aux exigences réglementaires, étant donné que les changements de logiciels et de matériel peuvent annuler leur utilisation. L'accessibilité des données de manière sécurisée et la réintroduction des données archivées font partie des bonnes pratiques pour prévenir une violation de données.
  • Contrôler que les données sont supprimées lorsqu'elles ne sont plus nécessaires ou qu'elles deviennent obsolètes.
  • entraîner les clients dans des pratiques de gestion de la sécurité des données afin de les convaincre de l'importance que vous accordez à la sécurité des données.
  • Disposer d'une politique solide de gestion des mots de passe : caractères minimums, comment ils peuvent être dérivés, décourager les mots de passe déjà utilisés ou avantage d'un outil de gestion des mots de passe.
  • Introduire l'authentification multifactorielle, l'empreinte digitale ou la reconnaissance faciale pour mieux protéger les services et les applications.
  • Validez vos processus par rapport aux meilleures pratiques en matière de sécurité des centres de données et de gestion des données , telles que la norme ISO/IEC27001 ou la norme NIST sur la sécurité des données.
  • Enregistrer tous les tests et les conserver pour les équipes d'audit et de conformité.
  • Pour les appareils mobiles ou numériques :
    • Mettre régulièrement à jour les applications et la sécurité.
    • Installez des logiciels espions ou des bloqueurs de cookies, le cas échéant.
    • Supprimer les anciennes applications.
    • Installer des outils de blocage des appareils mobiles en cas de perte ou de vol de l'appareil.

Types de gestion de la sécurité des données

Ce qui précède ne représente qu'une partie des meilleures pratiques de gestion de la sécurité des données qu'une organisation peut mettre en place. Comprendre les types de pratiques et de menaces en matière de sécurité des données peut aider à éviter les types de violations de données que l'on voit dans la presse, comme par exemple :

  • Connaissance et langage de la sécurité : créer un guide du langage de la sécurité des données pour faciliter l'apprentissage et la compréhension
    • Malware (logiciel malveillant) : Logiciel malveillant conçu pour accéder à l'information et causer des dommages.
    • Virus informatique : logiciel qui modifie le fonctionnement des ordinateurs de manière à ce qu'ils puissent être contrôlés de l'extérieur ou à ce qu'ils effectuent des activités, parfois à votre insu. Les virus informatiques, comme tous les virus, peuvent se propager d'un ordinateur à l'autre et sont difficiles à éliminer une fois qu'ils ont été introduits, sans effort considérable.
  • Types de clés de chiffrement et meilleures pratiques : la transformation des données en formats illisibles par le biais d'un algorithme permet de concevoir des services qui résistent aux attaques de sécurité. L'introduction des différents types de cryptage des données repose sur des mesures de sécurité des données qualifiées par le biais d'un personnel formé ou de fournisseurs partenaires de confiance. N'oubliez pas que les clés peuvent être perdues et prévoyez toujours un suppléant pour les cas où le propriétaire de la clé n'est pas joignable.
  • Gestion organisationnelle de la sécurité des données : l'attribution de rôles pour la gestion de la sécurité des données aux responsables des données, aux administrateurs de données, aux propriétaires de produits, aux développeurs, aux fournisseurs externes de données ou de logiciels, aux fournisseurs de services en nuage et de services gérés n'est que le début de cet aspect.
  • Suppression, effacement et destruction des données : l'utilisation d'un logiciel pour éradiquer complètement les données d'un dispositif de stockage (numérique ou physique) sous les auspices du propriétaire des données, du responsable des données ou de l'équipe de gouvernance .
  • Il existe plusieurs types de violations de données, mais les meilleures pratiques telles que la résilience des données mettent en œuvre la capacité de restaurer et de récupérer des événements physiques ou logiciels perturbateurs de manière sûre et opportune.

Différence entre sécurité et confidentialité des données

La sécurité des données permet de maintenir la sécurité des données lorsque votre organisation les utilise ou les stocke. La confidentialité des données est la pratique fondamentale qui consiste à s'assurer que les informations personnelles ou organisationnelles sont conservées et utilisées comme le stipulent les organismes de réglementation ou la politique interne. La sécurité des données et la protection de la vie privée sont similaires en termes de concepts généraux de gestion des données données, mais il faut garder à l'esprit que la principale différence entre la sécurité des données et la protection de la vie privée est que la première garantit la confidentialité des informations, tandis que la seconde assure la sécurité de vos données et de votre organisation.

Les informations personnelles ou organisationnelles sont un bien précieux et commercialisable, c'est pourquoi vos solutions de confidentialité des données doivent être en mesure de

  • Prouvez que vous avez obtenu les informations légalement et avec le consentement de l'autre partie.
  • Montrez comment vos pratiques combinent la cybersécurité et les pratiques en matière de protection de la vie privée, telles que celles du NIST.
  • Expliquer comment les rôles d'accès aux données sont dérivés, contrôlés et alertés en cas de violation.
  • Illustrer comment la sécurité et la confidentialité des big data (données manuelles, cyberdonnées, données d'application) sont maintenues et protégées contre les pertes, les fuites et les incidents.
  • Satisfaire aux demandes de suppression des données à caractère personnel exigées par les réglementations gouvernementales si le propriétaire le demande (GDPR).
  • Alerter et répondre rapidement à toutes les personnes touchées par un incident de données.
  • Sauvegarder et restaurer les informations afin d'atténuer les menaces qui pèsent sur les données.
  • Ces données seront sauvegardées ou stockées en toute sécurité et uniquement pour la durée nécessaire.

Le contrôle régulier de la conformité, la mise à jour des politiques de protection de la vie privée en fonction de l'évolution des pratiques gouvernementales ou des meilleures pratiques, et la garantie que les logiciels de sécurité des données, l'apprentissage et les processus étayent la protection de la vie privée sont des engagements organisationnels pris par la direction générale.

Comment gérer les menaces pesant sur la sécurité des données

Pour gérer la sécurité des données de manière appropriée, il convient de prendre en compte les trois concepts suivants :

  • Confidentialité : Pour respecter les règles de confidentialité, les données sont classées comme publiques ou confidentielles avec des garanties appropriées pour l'application et l'accessibilité individuelle.
  • Intégrité : Les informations créées ou acquises doivent être validées comme étant nécessaires à un usage professionnel avant d'être utilisées par une tâche professionnelle.
  • Disponibilité : Les données doivent être facilement accessibles et prêtes à être utilisées en cas de besoin, y compris la possibilité de les récupérer.

Les menaces de sécurité tentent de saper ces caractéristiques de confidentialité, d'intégrité et de disponibilité (CIA). En voici quelques exemples :

  • Confidentiel :
    • Attaque à l'aide d'un logiciel permettant de deviner le mot de passe.
    • Attaques par hameçonnage (voix), smishing (texte) ou phishing (courriel) : les pirates se font passer pour un membre de votre organisation, un client, un agent de réglementation ou une autre personne valable dans le but de voler des informations qui compromettraient la sécurité des données ou la protection de la vie privée.
    • Comme le montre le rapport de Verizon sur lesviolations de données et en suivant ses conseils.
  • Intégrité :
    • L'achat de données que les pirates ont extraites de l'une des méthodes ci-dessus pour escroquer votre organisation ou vos clients.
    • Les téléchargements non autorisés de données par le personnel, en particulier sur des appareils personnels.
    • Données corrompues ou vendues par des employés qui estiment avoir été licenciés sans raison, souvent avant que la gestion des rôles des employés puisse les supprimer des listes d'accès.
    • Les applications ou les partenaires externes peuvent, par inadvertance, laisser un accès ouvert à votre organisation par leurs services mal conçus. Une surveillance constante de tous les points d'entrée vous alertera lorsqu'une mesure d'atténuation devra être prise.
    • Les erreurs sont fréquentes. Copier des fichiers sur des appareils non protégés, partager des mots de passe en cas d'urgence, envoyer des données à la mauvaise personne, ne pas respecter les règles sont autant de types d'erreurs dont les logiciels et l'apprentissage peuvent contribuer à limiter l'impact.
  • Disponibilité :
    • Absence de sauvegardes de données permettant de rétablir les services en temps voulu.
    • Les données se présentent sous toutes sortes de formats, et chaque conception offre la possibilité de contourner les défenses de sécurité. La surveillance des données et les alertes sur vos réseaux ou au sein de vos applications vous aideront à combler les lacunes.
    • Logiciels malveillants ou virus informatiques : logiciels qui compromettent ou tentent de contrôler vos applications ou votre infrastructure. Les logiciels d'analyse et de blocage de la sécurité permettent de limiter le succès de ces attaques.
    • Gestion des clés de chiffrement pour protéger l'accès et l'utilisation des informations, quel que soit l'endroit où elles sont stockées ou transférées.

La CIA est liée à tous les aspects de vos politiques, pratiques, logiciels et matériels de gestion de la sécurité des données et de la continuité des activités. La direction générale doit contribuer à maintenir la maturité de la gestion de la sécurité des données à tous les niveaux de l'entreprise et obliger contractuellement les partenaires commerciaux à faire de même. L'évaluation de vos pratiques par rapport aux meilleures pratiques, telles que celles présentées dans le rapport Verizon Data Breach, garantira la confiance et la conformité dans la gestion de la sécurité des big data.

Outils de gestion de la sécurité des données

Gestion de la sécurité des données :

  • Outils de planification et de gouvernance pour contrôler les données tout au long de leur cycle de vie.
  • Savoir quelles sont les données que l'on possède et pourquoi on les possède.
  • Validation de l'intégrité des données.
  • Comprendre où les informations sont stockées et dans quelles circonstances.
  • Veiller à ce que les données soient supprimées lorsque cela est nécessaire.

En raison de la complexité et de l'abondance des données utilisées ou hébergées par toute organisation, ces tâches nécessitent l'assistance d'un logiciel pour cataloguer, suivre, surveiller, contrôler et alerter l'accès aux données et leur utilisation. Les caractéristiques des outils logiciels à prendre en considération sont les suivantes

  • Toutes les applications et tous les services auront leurs propres besoins en matière de données, et chacun devra être catalogué et relié à un système de gestion des données à des fins de contrôle et de gouvernance.
  • Les logiciels de sauvegarde et de récupération sont à la base des outils de prévention des pertes de données utilisés par les développeurs ou les partenaires SaaS.
  • Masquage des données sensibles, en particulier pour le développement de produits.
  • Logiciel de suppression et d'effacement des données avec enregistrement et confirmation.
  • Surveillance du réseau de sécurité par le biais de pare-feux.
  • Systèmes de sécurité des données pour les dispositifs physiques tels que les alarmes ou les portes verrouillées.
  • Logiciels de chiffrement, de jetons et de clés de sécurité pour les services numériques ou l'accès physique.
  • Authentification multifactorielle (à deux facteurs), reconnaissance faciale, logiciel d'accès par empreinte digitale.
  • Logiciel à mot de passe unique pour l'accès d'urgence, dans lequel le mot de passe est immédiatement désactivé après utilisation.
  • Contrôle de conformité, alertes et rapports.
  • Courtier en sécurité d'accès au nuage : un niveau supplémentaire de surveillance et de contrôle logiciel pour les données stockées dans un nuage.
  • Utiliser la sécurité des big data pour gérer les plateformes Hadoop open-source, en particulier pour les plateformes de gestion des données contenant des informations marketing.

Introduire des logiciels de prévention des pertes de sécurité des données pour des services spécialisés tels que les paiements, les applications mobiles, les navigateurs web ou l'analyse des données.

Ressources complémentaires

Développez votre expertise en données et explorez nos ressources complémentaires.

qualité des données prise de décision éclairée blog hero
Stratégie et connaissance des données

Qualité des données : Le fondement d'une prise de décision éclairée

Traci Curran | 18 mars 2025
Lire l'article
Plateformes

L'utilisation de la Data Intelligence : Comment les organisations réussissent

Actian Corporation | 24 février 2025
Lire l'article
gouvernance de la gestion des données et de la gouvernance
Gestion des données

Maîtriser la gestion des données et la gouvernance: Une feuille de route pour réussir

Traci Curran | 19 février 2025
Lire l'article