Comment protéger les données au repos
Toutes les informations détenues par votre entreprise sont importantes, sinon elles seraient supprimées. Vous devez protéger diverses données contre toute perte, car sans certains enregistrements, votre entreprise ne peut pas continuer. De même, vous devez vous assurer que les enregistrements ne peuvent pas être falsifiés pour créer de fausses informations, et vous ne voulez pas que des informations critiques soient divulguées à des concurrents.
La protection des données est imposée par une législation qui se déploie partout dans le monde. Par exemple, aux États-Unis, les normes industrielles de sécurité des données telles que Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) pour le secteur des paiements par carte de crédit et Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) pour le secteur de la santé sont appliqués par la législation. Il existe également des restrictions géographiques à l'utilisation des données. Ce type d’obligation est notamment imposé par l’Union européenne. Règlement Général sur la Protection des Données (RGPD) et le Loi californienne sur la protection de la vie privée des consommateurs (CCPA).
Quelles données doivent être protégées ?
Les normes de protection des données concernent spécifiquement les informations personnelles des individus. Cela ne concerne pas les données sur les entreprises ou les personnes qui y travaillent en leur qualité. Toutefois, la frontière est mince entre ce qui est considéré comme informations personnellement identifiables (PII).
Un exemple de données considérées comme des informations personnelles est une fiche de contact d'un employé dans les dossiers du personnel qui comprend le nom, l'adresse personnelle, l'adresse e-mail personnelle et le numéro de téléphone de l'employé. Cependant, une base de données de contacts d’entreprise comprenant le nom de cette même personne et ses coordonnées sur son lieu de travail n’est pas considérée comme des informations personnelles.
L’étendue des normes de confidentialité des données
Votre mission n’est peut-être pas de prendre soin de la santé des gens et vous n’êtes peut-être pas basé dans l’UE. Cependant, normes de confidentialité des données se répercutent tout au long de la chaîne d’approvisionnement informatique, de sorte que les entreprises qui ne sont pas directement impliquées dans un secteur contrôlé ou qui opèrent dans un domaine couvert par la législation pourraient se retrouver obligées de s’y conformer de toute façon.
Dans presque tous les cas, les normes de sécurité des données sont liées aux informations personnelles. Il y a une exception, c'est la Sarbanes – Loi Oxley (SOX), qui fait référence aux enregistrements des transactions financières des entreprises. Si votre entreprise n’a jamais l’intention d’aborder le stockage des informations personnelles, vous n’avez rien à craindre.
Dans l'industrie informatique, le chaîne d'approvisionnement de services signifie que les entreprises qui servent d'autres sociétés, vos informations personnelles, devront probablement se conformer à presque toutes les normes de sécurité des données existantes. C'est particulièrement le cas des fournisseurs de services gérés (MSP) et des services cloud.
Les normes de protection des données exigent que l'entreprise principale qui collecte et utilise les informations personnelles soit responsable de tous les événements de divulgation de données, quel que soit l'endroit où ils se produisent. Ainsi, les entreprises à la recherche de services n’accorderont des contrats qu’aux prestataires conformes à la norme requise. Si tu cours un service cloud avec une portée mondiale, vous perdrez une grande partie de clients potentiels si vous ne respectez pas toutes les normes importantes en matière de sécurité des données.
Sécuriser les données
Séparé de Probleme juridique En ce qui concerne les informations personnelles, il y aura d’autres types d’informations que vous ne voudriez pas que les autres découvrent. Par exemple, si vous envisagez d’acheter une autre entreprise, ces informations doivent rester confidentielles, principalement cotées en bourse. De plus, vous ne voulez pas que vos concurrents connaissent votre structure de coûts ou les détails des projets de recherche et développement en cours.
Donc, tu dois protéger les données que votre entreprise utilise, qu'ils concernent ou non les informations personnelles. Les états des informations sur l’entreprise se répartissent en trois catégories :
- Données utilisées
- Données au repos
- Données en transit
Chacun de ces États a ses exigences particulières en matière de sécurité. Par exemple, la protection des données utilisées inclut des considérations de utilisation appropriée et les contrôles d'accès. Dans ce guide, nous nous intéressons particulièrement aux données au repos. Cependant, de nombreux protocoles et services de transfert de données impliquent également que les données soient au repos. Par exemple, tous les systèmes de messagerie impliquent que les données soient d’abord envoyées à un serveur de messagerie, à partir duquel le client de messagerie du destinataire les télécharge mais ne les supprime pas définitivement.
Protection des données au repos
Généralement, on s'attendrait à données au repos à conserver dans des fichiers sur des serveurs de fichiers. Cependant, il existe également d’autres formats et emplacements de stockage à prendre en compte. Par exemple, vous devez également protéger les bases de données, qui, à terme, pourraient également être stockées sous forme de fichiers. De plus, il existe différents formats de stockage en nuage à prendre en compte, comme le stockage blob, qui n’a pas de structure de fichiers formelle. Enfin, n'oubliez pas que les données peuvent être conservées dans des fichiers temporaires dans des endroits inattendus, comme dans les imprimantes et les télécopieurs.
Même si vous avez pour politique apparente de conserver uniquement les fichiers dans un emplacement particulier, votre entreprise peut très bien avoir de nombreux autres magasins de données personnelles dont vous ne connaissez pas l'existence. Les systèmes ERP et CRM conservent souvent leurs magasins de données distincts.
Découverte et classification des données
La première problématique lorsqu’on aborde la protection des données au repos est de savoir précisément où est-ce que c'est . L'étape suivante consiste à déterminer quelles données sont sensible soit, par exemple, des informations personnelles, soit liées indépendamment aux secrets commerciaux.
Vous pouvez ensuite élaborer une stratégie pour consolider les magasins de données. Dans de nombreux cas, les applications que vous utilisez peuvent ne pas se prêter à la suppression appropriée des fichiers temporaires. Dans ces cas-là, vous devrez instaurer des l'administration balaye pour nettoyer les disques en supprimant ces fichiers temporaires et ces clichés instantanés. Certaines solutions à la protection des données sont de procédure plutôt que technique.
Gestion des droits d'accès
Une protection adéquate des données en cours d'utilisation, au repos et en transit nécessite un réglage très précis comptes utilisateur et les droits d'accès. À cet égard, les trois états de données sont liés. Vous devez segmenter les données afin que seuls des rôles spécifiques dans des départements spécifiques puissent accéder à des types de données particuliers.
Comptes administrateur et accès technicien peut être un casse-tête particulier, de nombreux périphériques, tels que les imprimantes et les périphériques de stockage amovibles, peuvent ne pas être couverts par les droits d'accès, ou ils sont livrés avec des informations d'identification par défaut et faciles à deviner, telles que ADMIN/MOT DE PASSE.
Mesures de protection des fichiers
L’objectif principal de vos efforts de sécurité sera la protection des fichiers. Cependant, les systèmes qui protègent l’accès aux fichiers traitent également les problèmes de protection des données utilisées. Ceux-ci sont appelés surveillance de l'intégrité des fichiers (FIM).
Les systèmes FIM contrôlent l'accès à des fichiers spécifiques et suivent également toutes les actions effectuées sur leur contenu. Dans certains cas, il s'agit simplement d'un service de journalisation qui enregistre le compte utilisateur ainsi que la date et l'heure d'accès. Dans d'autres cas, un FIM comprend systèmes de contrôle de versions qui stockent une copie complète du fichier à chaque fois qu'une modification est apportée, ce qui permet de supprimer ces modifications en revenant à une version précédente.
Dans toutes les versions de FIM, un clairement défini un ensemble de comptes d’utilisateurs est essentiel pour suivre correctement l’activité.
La FIM peut être appliquée par chiffrement . Ce cryptage peut être appliqué à des fichiers individuels ou à des dossiers entiers. Le système de cryptage doit permettre à plusieurs utilisateurs d'accéder au même fichier sans connaître la clé de cryptage et de déchiffrement. En d’autres termes, le contrôle d’accès imposé par le cryptage doit être invisible, permettant l’accès aux utilisateurs autorisés sans même qu’ils se rendent compte que le cryptage a été appliqué.
Les services de cryptage de fichiers sont particulièrement utiles pour bloquer la possibilité d'activités malveillantes de la part des techniciens informatiques – ceci est essentiel dans MSP activités.
Protection contre la divulgation de données
Le corruption de données cela concerne principalement les systèmes qui protègent les données utilisées. L'objectif principal des services qui protègent les données au repos est d'empêcher la divulgation des données. En d’autres termes, ils doivent bloquer le vol de données. Qu'il veuille voler des données ou pourquoi il le fait, vous pouvez bloquer ces opportunités en contrôlant tous les potentiels. points de sortie .
Il existe plusieurs façons de résoudre ces points d’exfiltration de données. Tout d’abord, vous pouvez désactiver complètement tous les lecteurs de disque et ports USB et empêcher les ordinateurs contenant des magasins de données de se connecter à une imprimante.
La protection contre les transferts non autorisés par pièce jointe dans des e-mails ou dans des applications de chat est plus difficile à mettre en œuvre. Globalement, vous aurez besoin logiciel spécialisé mettre en œuvre des contrôles adéquats sur les points d’exfiltration de données.
Prévention de la perte de données
Une fois que vous envisagez un logiciel spécialisé pour bloquer les points de sortie, prévention contre la perte de données , vous découvrirez que vous pouvez mettre en place très rapidement une politique de sécurité plus sophistiquée. La plupart des packages de prévention contre la perte de données (DLP) vous permettent de mettre en œuvre une série de politiques de sécurité simultanément, afin que vous puissiez permettre aux utilisateurs d'accéder, de déplacer ou de copier certains types de données mais pas d'autres. Par exemple, certains utilisateurs pourront accéder à certains magasins de données tandis que d’autres ne le pourront pas.
Les combinaisons permettant aux utilisateurs de faire quoi avec quel type de données sont presque infinies. De nombreux systèmes DLP simplifient la formulation d'une stratégie de protection des données appropriée en fournissant modèles qui prédéfinissent les contrôles selon des normes spécifiques de confidentialité des données.
Votre système DLP devra également réimplémenter votre gestion des droits d'accès structure des autorisations et catégoriser vos instances de données dans son système de classification pour exploiter efficacement ces modèles.
Les meilleurs outils pour protéger les données au repos
La protection des données au repos nécessite un package de prévention contre la perte de données.
Notre méthodologie de sélection d'un outil de sécurité pour les données au repos
Nous avons examiné le marché des systèmes de prévention des pertes de données et analysé les outils en fonction des critères suivants :
- Un système qui inclut la découverte et la classification des données
- Un service qui réorganisera et resserrera les droits d'accès et les comptes utilisateurs
- Une bibliothèque de politiques de sécurité qui assurent la conformité aux normes de confidentialité des données
- Surveillance de l'intégrité des fichiers, éventuellement avec cryptage des fichiers inclus
- Contrôles gradués sur les points d'exfiltration de données
- Une opportunité d’évaluer le système gratuitement
- Rapport qualité-prix grâce à un outil qui fournit toutes les fonctions DLP dans un seul package et inclut éventuellement également des services de détection des menaces
En gardant ces critères de sélection à l’esprit, nous avons créé une liste de packages DLP appropriés.
Voici notre liste des cinq meilleurs systèmes pour protéger les données au repos :
- ManageEngine DataSecurity Plus Ce progiciel sur site est proposé sous forme de trois modules qui mettent en œuvre le renforcement de la sécurité du système avec une évaluation des systèmes de gestion des droits d'accès et du serveur de découverte et de classification des données. Un autre module implémente la surveillance de l'intégrité des fichiers avec la possibilité d'imposer un cryptage pour la protection. Enfin, le module Data Leak Prevention met en œuvre des contrôles sur les canaux d'exfiltration de données, notamment les ports USB, les e-mails et les systèmes de transfert de fichiers. Il est possible de définir des politiques de sécurité en sélectionnant un modèle prédéfini conforme à une norme de confidentialité des données spécifique. DataSecurity Plus s'installe sur Windows Server et ManageEngine le propose sur un essai gratuit de 30 jours .
- Protecteur de point de terminaison Ce service combine un système de prévention des pertes de données avec un service de détection des menaces. L'outil comprend des analyses du comportement des utilisateurs et des entités (UEBA) pour détecter le piratage de compte, l'intrusion et les menaces internes. En outre, le package comprend une réorganisation de la gestion des droits d'accès, la découverte et la classification des données sensibles, ainsi que des modèles de politique de sécurité prêts à l'emploi pour la conformité aux normes de protection des données. D'autres fonctionnalités de cette solution offrent un contrôle des canaux d'exfiltration des données et un service de surveillance de l'intégrité des fichiers qui inclut le cryptage des fichiers.
Le package est proposé sous forme de plateforme SaaS, AWS, Google Cloud Platform et Azure, ou sous forme d'appliance virtuelle. Les agents de point de terminaison sont disponibles pour Windows, macOS et Linux. De plus, CoSoSys propose une démo de Endpoint Protector. - Gardien numérique DLP Il s'agit d'un service basé sur le cloud qui implémente des contrôles via des agents sur l'appareil disponibles pour Windows, macOS et Linux. Ce package comprend un audit de la gestion des droits d'accès, la découverte et la classification des données, ainsi que des politiques de sécurité prédéfinies pour la conformité aux normes de confidentialité des données. Ce système recherche et protège la propriété intellectuelle ainsi que les informations personnelles. Il contrôle les activités sur les systèmes de messagerie, les ports USB et les imprimantes pour bloquer les mouvements de données.
- Teramind DLP Une plateforme cloud avec des agents de point de terminaison pour Windows et macOS. Les agents peuvent également être exécutés sur des machines virtuelles. Une version sur site du serveur DLP est également disponible en tant qu'appliance virtuelle. Ce package comprend également le suivi de la productivité des employés, la surveillance des menaces internes, ainsi que la découverte et la classification des données sensibles qui peuvent analyser et documenter les images à la recherche de données. Des contrôles d’exfiltration sont également inclus.
- Azure Information Protector Il s'agit d'un service sur la plateforme Azure, mais il peut également contrôler les activités liées aux données sur d'autres plateformes cloud et vos sites. Les services incluent le suivi de la copie des fichiers et le filigrane des documents.