Le chiffrement ne suffit pas: 3 vérités essentielles sur la sécurité des données

Grâce à des périmètres morts, des adversaires persistants, le cloud, la mobilité et apportez votre propre appareil (BYOD), la sécurité centrée sur les données est impérative. Le principe de la sécurité centrée sur les données est simple: si un réseau est compromis ou si un appareil mobile est perdu ou volé, les données sont protégées. Les organisations qui acceptent ce changement de paradigme ont réalisé la nécessité d'ajouter un contrôle et une visibilité à la sécurité des données en allant au-delà des solutions traditionnelles. L'adoption de cette vision évoluée de la sécurité centrée sur les données permet aux organisations à tous les niveaux de protéger les données sensibles, en attachant virtuellement ces données quel que soit leur emplacement.

Les solutions de sécurité centrées sur les données sont traditionnellement tournées vers l'intérieur et se sont concentrées sur la protection des données dans le domaine de l'organisation lors de leur collecte et de leur stockage. Cependant, les données s'éloignent du centre de l'organisation, pas vers elles, et les mégatendances telles que le cloud et la mobilité accélèrent seulement le processus. Une sécurité efficace centrée sur les données protège les données lorsqu'elles s'éloignent du centre de l'organisation pour être partagées et consommées. Cela inclut des relations ad hoc au-delà des limites du domaine, permettant des interactions sécurisées avec les clients et les partenaires. (Faites une lecture de fond sur la sécurité informatique. Essayez les 7 principes de base de la sécurité informatique.)

Les 3 vérités essentielles de la sécurité centrée sur les données

Une vision évoluée de la sécurité centrée sur les données est basée sur trois vérités critiques qui montrent comment la sécurité doit être mise en œuvre pour être efficace:

• Les données iront dans des endroits que vous ne connaissez pas, ne pouvez pas contrôler et de plus en plus ne pouvez pas faire confiance. Cela se produit au cours du traitement normal, par erreur ou complaisance de l'utilisateur, ou par activité malveillante. Étant donné que les emplacements vers lesquels vos données se rendent peuvent ne pas être fiables, vous ne pouvez pas compter sur la sécurité du réseau, de l'appareil ou de l'application pour protéger ces données.
• Le chiffrement seul n'est pas suffisant pour protéger les données.

  Le chiffrement doit être combiné avec des contrôles d'accès adaptables persistants qui permettent à l'expéditeur de définir les conditions dans lesquelles une clé sera accordée et de modifier ces contrôles en fonction des circonstances.

• Il devrait y avoir une visibilité complète et détaillée sur qui accède aux données protégées, quand et combien de fois.

  Cette visibilité détaillée garantit l'auditabilité des exigences réglementaires et alimente l'analyse pour une vision plus large des modèles d'utilisation et des problèmes potentiels, ce qui améliore le contrôle.

Données: Oh, les endroits où il ira

En partant de la première vérité, nous pouvons conclure une norme opérationnelle importante et pragmatique: pour que la sécurité centrée sur les données soit efficace, les données doivent être protégées au point d'origine. Si les données sont chiffrées comme la toute première étape du processus, elles sont sécurisées, peu importe où elles vont, sur quel réseau elles voyagent et où elles résident finalement. Faire autrement requiert la confiance de chaque ordinateur, de chaque connexion réseau et de chaque personne à partir du moment où les informations quittent les soins de l'expéditeur, et aussi longtemps qu'elles existent ou que des copies existent.

La protection des données au point d'origine est une hypothèse importante: votre solution de sécurité centrée sur les données doit être en mesure de protéger les données où qu'elles aillent. Comme la première vérité nous le dit, les données et leurs nombreuses copies créées naturellement iront à de nombreux endroits, y compris les appareils mobiles, les appareils personnels et le cloud. Une solution efficace doit sécuriser les données indépendamment de l'appareil, de l'application ou du réseau. Il doit sécuriser ces données quel que soit leur format ou leur emplacement et qu'elles soient au repos, en mouvement ou en cours d'utilisation. Il doit facilement s'étendre au-delà de la limite du périmètre et être capable de protéger les dialogues ad hoc.

C'est là qu'il est utile de s'arrêter et d'examiner les nombreuses solutions de sécurité centrées sur les points et les fonctions disponibles sur le marché. De par leur nature même, ces solutions créent des silos de protection car, comme le dit la première vérité critique, les données résideront quelque part en dehors de leur durée de fonctionnement. Parce que ces solutions manquent de la protection omniprésente nécessaire, les agences et les entreprises sont obligées d'ériger plusieurs silos. Pourtant, malgré tous les efforts de ces multiples silos, les résultats sont prévisibles: les données resteront entre les écarts. Et ces lacunes sont précisément là où des adversaires extérieurs et des initiés malveillants attendent pour exploiter les vulnérabilités et voler des données. De plus, chaque silo représente des coûts réels pour l'acquisition, la mise en œuvre et le support de la solution associée, ainsi que la charge opérationnelle de la gestion de plusieurs solutions. (Plus de matière à réflexion: l'écart de sécurité des données que de nombreuses entreprises négligent.)

Le cryptage des données ne suffit pas

La deuxième vérité affirme que le chiffrement en soi n'est pas suffisant - il doit être combiné avec des contrôles granulaires et persistants. Le fait de partager du contenu cède effectivement le contrôle sur celui-ci, ce qui rend essentiellement le destinataire copropriétaire des données. Les contrôles permettent à l'expéditeur de définir les conditions dans lesquelles le destinataire reçoit une clé pour accéder au fichier et d'activer l'option de dicter ce que le destinataire peut faire une fois les données accessibles. Cela inclut la possibilité de fournir une fonction d'affichage uniquement lorsque le destinataire ne peut pas enregistrer le fichier, copier / coller du contenu ou imprimer le fichier.

Le terme «persistant» est une caractéristique essentielle des contrôles d'accès nécessaires à une sécurité efficace centrée sur les données. Les données restent pratiquement attachées à l'expéditeur, qui peut répondre à l'évolution des exigences ou des menaces en révoquant l'accès ou en modifiant les conditions d'accès à tout moment. Ces modifications doivent être appliquées instantanément à toutes les copies des données, où qu'elles résident. N'oubliez pas que la première vérité indique que les données peuvent se trouver dans des endroits que l'expéditeur ne connaît pas ou sur lesquels il ne peut pas exercer de contrôle. Par conséquent, une connaissance préalable de l'emplacement des données et un accès physique aux périphériques associés ne peuvent pas être supposés. Le contrôle permanent a l'avantage supplémentaire de traiter la révocation des données sur les appareils perdus ou volés qui ne seront probablement plus jamais en contact avec le réseau.

L'adaptabilité est une caractéristique essentielle qui différencie simultanément les solutions concurrentes et soutient le cas d'une approche unifiée et omniprésente. Toutes les solutions de sécurité centrées sur les données ne sont pas créées de manière égale, car certaines utilisent des méthodes de chiffrement inventées avant la mobilité, le cloud et l'adoption généralisée d'Internet. Avec ces méthodes, les contrôles d'accès sont définis au moment où les données sont chiffrées, mais il leur manque les avantages liés au contrôle persistant.

Qui, quand et combien de fois les données sont-elles accessibles?

La troisième vérité d'une sécurité efficace centrée sur les données est le besoin absolu d'une visibilité et d'une auditabilité complètes. Cela inclut la visibilité de toutes les activités d'accès pour chaque objet de données, autorisées et non autorisées. Il inclut également une visibilité sur tout type de données, à l'intérieur et à l'extérieur des limites du périmètre. Des données d'audit complètes et la non-répudiation permettent à une organisation de savoir qui utilise les données, quand et à quelle fréquence. La visibilité renforce le contrôle, donnant aux organisations les informations nécessaires pour répondre rapidement et en toute connaissance de cause aux tentatives incessantes d'exfiltrer les informations. Cette visibilité devrait s'étendre à l'écosystème de sécurité plus large de l'organisation, en fournissant les données aux outils de gestion des événements et des informations de sécurité (SIEM) et des analyses opérationnelles. À son tour, la corrélation et l'analyse peuvent fournir des informations telles que l'identification d'éventuels initiés malveillants.

Vous serez violé. Chaque couche de défenses de sécurité informatique peut et sera compromise. Les organisations ne peuvent plus compter sur la sécurité du périmètre pour sécuriser les données sensibles et la propriété intellectuelle. Ils doivent rechercher des approches alternatives pour protéger les informations sensibles. Ce ne sont pas seulement les défenses de périmètre qui sont en difficulté, car de nombreuses solutions de sécurité centrées sur les données ont été conçues avant la mobilité, le BYOD, le cloud et les interactions Web hors domaine. Les entreprises doivent se tourner vers des solutions de sécurité centrées sur les données qui adoptent une vision évoluée, abordant pleinement les dures vérités de la protection des données dans l'environnement informatique en évolution rapide et très complexe d'aujourd'hui.