Protection des données : un enjeu capital
Temps de lecture : 5 minutes
Publié le 27 juin 2022
69,55 euros pour des identifiants et mots de passe, 54,87 euros pour des données de santé : les données volées se revendent à prix d’or. Un fléau pour les entreprises qui doivent plus que jamais protéger leurs joyaux – la protection des données devient un enjeu majeur pour l’ensemble des organisations ! La donnée est au cœur de tout. Des équipements, du stockage, des identités… Essentielle au fonctionnement des entreprises, elle est aussi la cible privilégiée des cyberattaquants.
Nabil Senoussaoui, Customer Engineer au sein de Microsoft France, donne des clés aux organisations pour leur permettre de mieux se saisir des enjeux intrinsèques aux données et de renforcer leur posture de défense. Entre solutions technologiques et bonnes pratiques, il nous révèle comment protéger ces informations aussi précieuses que stratégiques.
Mais au fait, c’est quoi une donnée ?
Un patrimoine informationnel étendu et multiple
Le monde de l’entreprise regorge de données. il y a les données personnelles des collaborateurs comme les identifiants et mots de passe. Mais aussi les données de santé, les données financières, les données stratégiques, et celles qui relèvent de la propriété intellectuelle. À ceci s’ajoute les données collaboratives qui circulent en continu : « Les données dites collaboratives représentent tout le contenu des échanges numériques entre plusieurs utilisateurs, tels que les échanges par email ou les interactions sur des applications collaboratives comme Teams par exemple » détaille Nabil Senoussaoui.
Si cette succession de données ressemble d’abord à une liste à la Prévert, identifier et recenser son patrimoine informationnel est en fait un exercice des plus utiles. En plus d’être une étape indispensable dans la gouvernance des organisations en matière de protection des données et de lutte contre la compromission de celles-ci.
La compromission de données : plus qu’un risque, une réalité
Les données compromises par les pirates informatiques sont en effet légion, ce qui n’est pas sans conséquences. « L’impact sur les organisations varie en fonction du type de données. Si par exemple un attaquant souhaite cibler un organisme étatique, il va s’intéresser aux données personnelles des collaborateurs de l’organisme en question, qui sont autant de portes d’entrée pour pénétrer à l’intérieur des systèmes » explique Nabil Senoussaoui.
C’est ce que l’on appelle “la phase de recherche et préparation”. Cette phase se base sur l’ « OSINT », pour « Open Source Intelligence ». Une méthode qui permet aux attaquants de détecter puis d’exploiter des adresses email, des mots de passe, des adresses IP voire même des adresses postales appartenant aux collaborateurs de l’entreprise cible.
La protection des données passe par la sensibilisation des collaborateurs
Autre exemple avec les attaques par ransomware. Elles aussi largement plébiscitées par les pirates, notamment pour dérober ou bloquer l’accès à des données financières. Dans ce cas de figure, les données ciblées sont chiffrées et inaccessibles par l’organisation qui en est pourtant propriétaire.
« Au-delà des conséquences fonctionnelles ou financières qu’ont ces attaques, les entreprises voient leur réputation très impactées, c’est là que le bât blesse » signale Nabil Senoussaoui. Pour l’expert, préserver sa réputation fait pleinement partie d’une stratégie de protection des données, « lorsque les données d’une organisation sont exfiltrées, il y a en général un impact immédiat sur la perte de confiance des clients et des collaborateurs envers l’entreprise » précise-t-il. Il ajoute par la suite que « la prise en compte de l’humain doit donc être l’un des paramètres clés du dispositif de protection des données ».
Classifiez… Chiffrez ! Les méthodes de protection de données
Une question se pose alors. Comment accroître le niveau de protection des données et les tenir ainsi à l’écart des acteurs malveillants ? Pour Nabil Senoussaoui deux mots d’ordre : la classification et le chiffrement.
Les bonnes pratiques à observer
L’objectif est tout d’abord d’identifier les données les plus sensibles – c’est l’étape de la classification. Ensuite, il convient de contrôler les accès réalisés vers ces données en les chiffrant. « La classification est un prérequis au chiffrement, cela permet de définir des labels avec différents niveaux de confidentialité que l’on attribue ensuite à chaque donnée » indique Nabil Senoussaoui. Un procédé efficace auquel Microsoft a ajouté une technologie native de monitoring qui permet de suivre et d’analyser toutes les tentatives d’accès effectuées vers les données classifiées.
Une fois labellisées, les données peuvent être chiffrées : « Auparavant, le chiffrement s’envisageait de façon binaire, mais aujourd’hui, avec l’arrivée de nouvelles technologies, il est possible d’instaurer des systèmes de chiffrements intelligents liés à l’identité des utilisateurs » précise l’expert. Les entreprises sont alors capables de créer des accès avec des niveaux de privilèges variables et d’appliquer plusieurs types de permissions pour une même donnée. Une arme redoutable contre la fuite d’informations sensibles et la protection des données.
Profiter des performances du Cloud pour la protection des données
À l’heure de la transformation numérique des entreprises, c’est aussi sous l’angle du Cloud qu’il faut pouvoir aborder ces questions de classification et de chiffrement de données. « L’avènement du Cloud entraîne une migration des données et soulève des interrogations sur la manière dont elles sont hébergées et mises à l’abri » développe Nabil Senoussaoui. Il estime que l’équation données-Cloud peut être source d’inquiétude pour les organisations.
La technologie Bring Your Own Key (BYOK) a justement été pensée pour lever ces freins. Créée par Microsoft, le BYOK permet à une entreprise d’héberger ses données au sein du Cloud Azure et de les chiffrer avec sa propre clé, à laquelle Microsoft n’a pas accès. « Une entreprise est maîtresse de sa donnée si elle gère sa propre clé de chiffrement, c’est tout le sens de la technologie BYOK ».
Pour les données les plus sensibles, comme les données étatiques ou les données bancaires, le Double Key Encryption (DKE) va encore plus loin avec une approche de chiffrement à deux niveaux. Une première couche est fournie par la technologie Microsoft, à laquelle l’entreprise ajoute sa propre clé. Les deux clés de chiffrement sont stockées à des endroits différents, ce qui complique la tâche des attaquants.
Le Cloud ouvre ainsi le champ des possibles en matière de protection des données et fournit « le bon niveau de sécurité ». Celui dont les organisations ont besoin.
