Avis d'expert : protéger vos données dans le nouveau monde du Cloud
Comment protéger vos données sensibles alors que chaque frappe au clavier mène on-ne-sait-où, que les opérations de traitement peuvent s’effectuer en tout endroit du monde, et que les utilisateurs se retrouvent souvent localisés à distance de leurs données ? Dans son "avis d'expert", intitulé "Protection de vos données sensibles : évaluation des risques et des menaces" Christophe Auberger, Directeur Technique France à Sophia Antipolis de Fortinet, leader de la sécurité réseaux, donne les pistes à suivre.
Le cheminement de vos données, de votre clavier jusqu’au CPU en passant par l’écran est jalonné de dangers. Dans le cas d’un système cloisonné, à savoir le bon vieux PC autonome, le risque était quasi absent. Mais aujourd’hui, alors que chaque frappe au clavier mène on-ne-sait-où, que les opérations de traitement peuvent s’effectuer en tout endroit du monde, et que les utilisateurs se retrouvent souvent localisés à distance de leurs données, l’intégrité de ces données est menacée en tous points. Chaque “maillon faible” dans le processus de gestion de données devient particulièrement problématique.
Cartographier vos données
Plus vos données sont disséminées, plus le risque est important. Avec l’avènement du Cloud, le contrôle sur vos données est moindre et il devient complexe d’identifier le cheminement de ces données. Quant à évaluer le niveau de sécurité des différents processus actifs, voilà qui est quasiment impossible. Et pourtant, cette mesure des risques doit être effectuée, sauf à accepter que votre organisation soit soumise à un niveau de risque… inacceptable.
La première mission consiste à classifier vos données pour hiérarchiser les types de données devant être sécurisés. Vous découvrirez sans doute que la majorité de vos données corporate ne sont pas critiques, ou qu’elles sont redondantes ou obsolètes. Vous devez certes les protéger, mais elles ne sont pas prioritaires.
Reste bien sûr les joyaux de la couronne : les données financières, personnelles ou commerciales. Ces bases de données doivent être sécurisées et protégées contre tout accès non autorisé.
Le stockage : ici, là, n’importe où
Les données sont forcément archivées quelque part. Lorsque vous aurez identifié celles qui requièrent toute votre attention, vous devrez identifier leur localisation. En interne, les données peuvent être stockées sur la mémoire vive (le traitement analytique in-memory est devenu essentiel pour les analyses du Big Data), sur des dispositifs connectés au réseau, voire sur des bandes magnétiques.
Pour rendre les choses plus complexes, notons que les données mènent leur propre vie une fois recueillies. Dans un système de point de vente par exemple, les données brutes peuvent être stockées dans un environnement A, puis être traitées au sein d’un environnement B, avant d’être mises à disposition de multiples applications (C à Z). Le risque est alors présent à chaque étape du processus.
Lorsque les données sont protégées derrière un pare-feu, les choses sont plutôt simples. Vous pouvez définir vos propres règles d’accès, surveiller les activités sur le réseau et prendre les bonnes actions en cas d’anomalie détectée. Vous pouvez aussi définir des seuils pour automatiser ces actions. Mais les menaces existent même au sein d’environnements cloisonnés.
Prévenir les accès prohibés
Les administrateurs systèmes, généralement via le système de gestion des bases de données, peuvent attribuer des droits de lecture et d’écriture sur des ensembles de données au sein de leur organisation. Sauf que les gens se déplacent au sein des organisations, et que les rôles, besoins et autorisations sont appelés à évoluer.
Les administrateurs des bases de données doivent donc réévaluer leurs droits de lecture et d’écriture régulièrement (spécifiés par les règles d’accès) pour s’assurer que seuls les profils et personnes légitimes accèdent aux données sensibles.
Des ressources qui peuvent vous aider
Des recommandations sont disponibles pour vous aider à piloter ces processus de manière fluide. À titre d’exemple, les normes ISO/IEC 27002 ont été conçues spécifiquement pour aider les responsables des bases de données à assurer la traçabilité et la sécurité de leurs données. Les éditeurs sont responsables de la mise en oeuvre de ces principes au sein de leurs solutions.
D’autre part, le chapitre dédié à la gestion de la sécurité de la norme ITIL (Information Technology Infrastructure Library), basée sur ISO/IEC 27002, décrit comment intégrer la sécurité de l’information au sein des processus de gestion. Mais quelle que soit la norme adoptée, il est essentiel de disposer d’une cartographie globale de vos données, de leur cheminement, des accès aux données et des autorisations associées.
L’introduction de la sécurité à chacune des étapes du processus doit ensuite être menée avec précaution. Bien sûr, il est tout aussi important de définir des règles qui stipulent précisément les droits d’accès de chacun pour chaque type de données, ainsi que l’acheminement de ces données du point A au point Z. Si vous êtes capable de cartographier les processus sur un (sans doute grand !) tableau, vous êtes sur la bonne voie pour identifier les menaces potentielles et maîtriser les risques.
Christophe Auberger
- Voir les autres avis d'expert de Christophe Auberger : Tag Auberger