April 3, 2025

PDFS

C'est en forgeant qu'on devient forgeron

Étapes vers une pratique solide en matière de confidentialité des données

9 min read
4 years ago admin

Votre entreprise a survécu aux blocages de Covid-19 ; le personnel administratif et les employés qui peuvent travailler à domicile s’y sont habitués et, dans l’ensemble, ne veulent vraiment pas retour au bureau. Avec cela, votre entreprise a vu l’opportunité de réduire l’espace de bureau et donc d’économiser de l’argent. Votre personnel informatique a fait un travail remarquable pour mettre à niveau et reconstruire l’infrastructure informatique pour mieux prendre en charge le travail à distance, ce qui a probablement inclus l’adaptation de l’infrastructure de l’entreprise pour utiliser davantage de ressources basées sur le cloud.

La société s’approche maintenant d’une nouvelle normalité et pour mieux la soutenir, elle a décidé qu’elle avait besoin de sang neuf au niveau du conseil d’administration pour mieux gérer le marketing, les ventes et le potentiel sur Internet. problèmes de confidentialité des données cela pourrait survenir. Pour répondre à ces exigences, il a fallu embaucher quelques directeurs non exécutifs (NED) – l’un ayant une expertise dans l’exploitation d’Internet et des médias sociaux à des fins de marketing, de vente et de support produit, et l’autre avec une expérience dans l’assurance de l’information, la sécurité de l’information, le général Règlement sur la protection des données et analyse des risques informatiques.

Le NED marketing embauché a commencé par lancer un examen de ce que l’entreprise a fait dans le passé, de ce qui s’est bien passé et de ce qui n’a pas fonctionné. En parallèle, un exercice a commencé pour mesurer comment les produits de l’entreprise se comparent à la concurrence et comment la concurrence commercialise ses produits et comment elle gère les campagnes publicitaires. Ces révisions conduiront, selon toute probabilité, à des changements à l’échelle de l’entreprise qui auront un impact sur l’infrastructure informatique.

L’autre NED, l’infosec NED, a commencé par demander : « Existe-t-il un inventaire complet et à jour de toutes les données détenues ou traitées par l’entreprise ? Les réponses allaient généralement de « non » à « cela dépend des différents départements ». Il existe très peu d’entreprises ou d’organisations où les dirigeants pourraient mettre la main sur leur cœur et répondre « oui » à cette question.

La raison pour laquelle cette question a été posée, et en fait posée en premier, est que si une entreprise ne connaît pas la totalité des données dont elle dispose, la valeur des données et la manière dont elles sont utilisées et stockées, il est alors très difficile, sinon impossible, de sécuriser et de contrôler efficacement ces données.

Préparation à l’élaboration ou à la mise à jour d’un inventaire existant

Différents types de données devront être identifiés, comme celle relative aux RH ou à la finance, mais en identifiant ces différents types de données, sachez qu’une approche trop granulaire rendra plus difficile un contrôle efficace dans le temps, alors qu’une approche qui est pas assez granulaire ne traitera pas correctement la confidentialité des données.

Chaque type de données ne doit avoir qu’un seul propriétaire de données et le travail de ce propriétaire de données est d’identifier, par politique et procédure, qui ou quel processus peut accéder à leurs données et dans quel but (création, lecture seule, lecture/écriture/copie, traitement , archiver ou supprimer). Il est probable que dans une grande organisation, le propriétaire des données délègue le contrôle quotidien de ses données à d’autres personnes connues. Dans les petites et moyennes entreprises (PME), ce contrôle quotidien de leurs données serait probablement effectué par les propriétaires des données.

L’inventaire des données

Une fois que le résultat de cette question sur l’inventaire des données est connu, il est fort probable qu’un examen complet de « vidange » sera lancé, conduisant à l’élaboration d’un inventaire de données nouveau ou révisé, qui devrait :

  • Soyez tenu au courant.
  • Être correctement identifié par type (finance, vente, RH, etc.).
  • Avoir un propriétaire de données approprié pour chaque type de données.
  • Identifiez la valeur du type de données, par exemple public, interne à l’entreprise, privé à l’entreprise, personnel et sensible, etc.
  • Identifiez les dates d’archivage et de destruction des données.
  • Identifiez qui ou quel processus peut accéder et utiliser chaque type de données.
  • Identifiez les restrictions d’accès, telles que l’accès interne uniquement, les restrictions d’heure, si l’authentification à deux facteurs (2FA ou MFA) est requise, etc.
  • Identifiez tous les emplacements où les données de chaque type de données sont stockées ou conservées, ainsi qu’une méthode d’identification de la version des données. Cela doit inclure l’endroit où les données ont été téléchargées sur des PC individuels, copiées sur des disques CD/DVD ou des clés USB et le stockage d’archives.

Un inventaire de données révisé est disponible – et ensuite ?

Une fois que nous aurons cet inventaire de données à jour, comment cela va-t-il aider à gérer et à optimiser la confidentialité des données ? En soi, l’inventaire est l’un des outils, mais un outil très nécessaire à l’élaboration d’un plan menant à une infrastructure plus sécurisée.

Un complément essentiel à l’inventaire des données est la politique associée à la création des informations d’identification des utilisateurs et à la maintenance continue. Ces politiques doivent inclure le moment où les examens sont effectués pour déterminer si un compte doit toujours pouvoir accéder aux données (et dans quel but) ou s’il s’agit d’un compte obsolète et comment les comptes obsolètes sont gérés (supprimés ou désactivés et la période entre la désactivation et suppression).

D’autres contributions à la sécurisation de l’infrastructure incluront les plans futurs et l’orientation stratégique de l’entreprise et des différents départements. Ces entrées, en conjonction avec l’inventaire des données, permettront d’identifier les exigences techniques de sécurité pour chaque type de données, par exemple par des paramètres d’authentification et d’autorisation contrôlés Active Directory (ou équivalent), un stockage physique séparé ou un stockage dédié pare-feu.

Par exemple, les données de différentes divisions de l’entreprise devront probablement être séparées des données d’autres départements et certaines données jugées sensibles ou secrètes devront être protégées à un niveau plus élevé que les autres données.

Pour accéder aux données, un utilisateur ou un processus devra appartenir à une unité organisationnelle et à un groupe spécifiques et disposer du niveau d’autorisation approprié. Des restrictions d’accès supplémentaires peuvent également être appliquées, telles que l’heure de la journée et si 2FA est utilisé – par exemple, un utilisateur accédant aux données à partir d’un emplacement distant peut avoir une vue restreinte des données par rapport à un accès au bureau, sauf heures d’ouverture et 2FA est utilisé. Ces décisions dépendraient d’une évaluation des risques de chaque type de données par rapport à diverses architectures informatiques et de l’appétit pour le risque global de l’entreprise.

En termes d’infrastructure, les données départementales générales peuvent généralement être séparées en limitant l’accès par unité organisationnelle et/ou paramètres de groupe dans Active Directory (AD ou équivalent), bien que dans certains cas, les données départementales puissent devoir être conservées dans des magasins de données physiquement séparés. Ce qui peut être fait pour toutes les données peut être contrôlé par les paramètres de rôle d’autorisation dans AD.

En ce qui concerne les données sensibles et secrètes, le contrôle d’accès sera soumis à ces mêmes paramètres, mais en outre, l’accès serait limité aux personnes ou groupes de personnes spécifiquement autorisés et aux adresses IP potentiellement spécifiques. Il est également probable que les données soient séparées des autres données par des moyens physiques. En effet, le support de stockage en fin de vie ou en mode panne doit être détruit à un niveau supérieur à celui des supports de stockage utilisés pour les données non sensibles.

Points clés à retenir

  • Vous devez savoir où les données sont stockées et utilisées, car si vous ne le savez pas, vous ne pouvez pas le contrôler.
  • Le propriétaire des données est essentiel pour identifier et contrôler qui ou quel processus peut accéder aux données et les utiliser.
  • Comprendre la valeur des données et comprendre comment différentes techniques de sécurité peuvent protéger les données est essentiel pour développer une évaluation des risques et, en fin de compte, l’architecture de sécurité choisie.
  • Les contrôles d’accès des utilisateurs et des processus doivent être basés sur un strict « besoin de savoir ». Ce n’est pas parce qu’une personne est un cadre supérieur qu’elle a besoin d’accéder à tous les fichiers ou éléments de données de son entreprise, de son unité organisationnelle ou de son service.
  • Les contrôles d’accès devraient idéalement prendre en compte le point d’origine d’un utilisateur ou d’un processus et éventuellement l’heure de la journée. 2FA pour les utilisateurs est un moyen précieux d’améliorer la sécurité du réseau et la confidentialité des données en améliorant considérablement l’accès à l’infrastructure d’une entreprise.
  • Les informations sensibles et secrètes doivent être conservées séparément des autres données et idéalement dans un magasin physique séparé. L’accès à ce type de données doit également être limité à des points d’origine connus, par exemple une autorisation non seulement à un service, mais à des utilisateurs ou à un groupe d’utilisateurs dûment autorisés au sein d’un service. De plus, un point d’origine autorisé peut être requis, comme des adresses IP connues.

Enfin, n’oubliez pas les bases :

  • L’infrastructure informatique doit être entièrement documentée, y compris, mais sans s’y limiter, tous les services externalisés, les licences, l’aménagement des bâtiments (salles informatiques, armoires de câblage, etc.).
  • Tous les points d’accès externes à l’infrastructure (via l’Internet public et des tiers) doivent être correctement protégés par un pare-feu avec des zones démilitarisées avec des dispositifs de type proxy fournissant une couche d’isolement entre les processus internes de l’entreprise et le monde extérieur.

Vous devrez également vous assurer que :

  • Tous les logiciels (et firmware) sont à jour.
  • Les correctifs de sécurité sont appliqués en temps opportun.
  • Des outils de prévention des intrusions de virus et de logiciels malveillants sont en place, opérationnels et maintenus.
  • Un processus de surveillance de la sécurité est en place et il est utilisé.
  • Un programme régulier de contrôles de santé de la sécurité informatique et de tests d’intrusion externes est en place.
  • Le personnel informatique et de sécurité fait partie d’un programme de développement professionnel continu.
  • Qu’un programme de sensibilisation à la sécurité à l’échelle de l’entreprise est en place et maintenu.

More Stories

5 min read

ICO en vue de mettre fin aux pop-ups de cookies

4 years ago admin
10 min read

Comment les services SOAR et SIEM s’en sortent-ils dans un paysage de cybermenaces en évolution rapide ?

4 years ago admin
6 min read

La Chine accusée de cyberattaques contre les systèmes informatiques norvégiens

4 years ago admin

Leave a Reply

Your email address will not be published. Required fields are marked *

You may have missed

3 min read

Éclairage Blackpool pour un haut débit entièrement en fibre

4 years ago admin
4 min read

La réapparition de REvil pourrait annoncer de nouvelles campagnes de rançon

4 years ago admin
4 min read

CityFibre étend son réseau dans le Sussex, en Écosse et annonce Medway ISP

4 years ago admin
4 min read

Covid positif pour le marché de la sécurité, mais toujours source de stress

4 years ago admin
Copyright © All rights reserved. | Newsphere by AF themes.