IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Près de la moitié des employés ont accès à plus de données que nécessaire
Selon une étude de Getapp

Le , par Bruno

41PARTAGES

7  0 
Deux grands principes bien connus des spécialistes en sécurité des informations sont le principe du moindre privilège et la séparation des tâches et pouvoirs. Le principe du moindre privilège stipule que tous les employés, qu’il s’agisse des simples utilisateurs, des gestionnaires, des directeurs ou des dirigeants, ne doivent se voir attribuer que le niveau de privilège dont ils ont besoin pour accomplir leur travail, et pas plus.

Cependant, une nouvelle étude portant sur plus de 700 employés à temps plein révèle que 48 % des employés ont accès à plus de données de l'entreprise qu'ils n'en ont besoin pour exécuter leur travail, tandis que 12 % des employés déclarent avoir accès à toutes les données de l'entreprise.


« Tandis que les entreprises font face à des volumes croissants d'informations sensibles, les risques liés à la sécurité des données augmentent pour les entreprises de toutes tailles. C'est pourquoi les résultats de notre enquête sont si alarmants », déclare Zach Capers, analyste de contenu senior chez GetApp. « Vous pouvez avoir une confiance totale en vos employés, mais des erreurs se produisent et votre entreprise se retrouve entrain de perdre des millions de dollars de revenus et une atteinte à sa réputation. Une classification stricte des données, associée à une formation approfondie des employés sur les dangers des mauvaises pratiques dans votre entreprise, serait une bonne idée ».

Pourquoi une politique de classification des données est-elle importante ?

Les stratégies de classification des données permettent de distinguer les informations de niveaux de sensibilité variables, vous permettant ainsi d'identifier et d'investir dans la sécurisation des informations les plus sensibles. Parmi les raisons d'avoir une politique de classification des données, nous pouvons citer :

  • l’aide à l’organisation et au suivi des données critiques de l'entreprise : 80 % des entreprises ne savent pas où se trouvent leurs données sensibles et comment elles transitent sur le réseau. Avec une stratégie de classification des données, vous pouvez attribuer aux employés la responsabilité de sa protection. Il vous aide également à planifier des actions pour contenir les fuites de données potentielles ;
  • la prise en charge de l'utilisation optimale des ressources et la réduction des coûts : l’application des contrôles de données nécessite de consacrer du temps et de l'argent à des outils tels que la gestion des identités et des accès (IAM) et la prévention des pertes de données (DLP). En déterminant la criticité de différents types de données, vous pouvez mieux vous concentrer sur les données qui doivent être protégées à tout prix sans gaspiller vos ressources en données non ou moins critiques ;
  • la prise de conscience par les employés de l’intérêt de la sécurité des données : grâce à une stratégie de classification des données accessible aux employés, ils sont conscients de la manière dont ils gèrent les données de l'entreprise. Les employés ont tendance à faire des choix plus sûrs lorsqu'ils stockent ou transmettent des données lorsqu'ils se rendent compte qu'ils travaillent sur des informations sensibles ;
  • facilite le respect des mandats réglementaires : les cadres réglementaires tels que HIPAA, PCI et GDPR permettent aux entreprises de protéger les données sensibles telles que les dossiers médicaux, les données de paiement ou les informations personnelles identifiables (PII). Les entreprises doivent veiller à classer ces données comme confidentielles ou à diffusion restreinte afin d'éviter qu'elles ne soient divulguées sans autorisation ou stockées ou transmises par des voies non cryptées.


Quelques étapes pour construire une politique de classification des données

1. Connectez-vous avec la direction de l'entreprise

Les dirigeants d’entreprise et les responsables à tous les niveaux connaissent mieux les différents types de données qu’ils gèrent. Ils peuvent également suivre des stratégies de données non écrites qui déterminent qui peut accéder ou modifier différentes informations.
La connexion avec les différentes équipes permet également d'identifier les données héritées dupliquées et non classifiées, de prendre en compte différents contextes métier et de créer une stratégie de classification unifiée des données.

2. Identifier les risques réglementaires et juridiques

Certains types d'informations (telles que les informations de paiement des clients et les numéros d'identification gouvernementaux) sont considérés comme plus sensibles par les organismes de réglementation et doivent être hautement sécurisés. Par exemple, le GDPR considère les données génétiques ou biométriques, le statut ethnique ou racial d'une personne et les données sur son état de santé comme des données personnelles sensibles. Toute exposition non autorisée ou violation de données personnelles sensibles est sanctionnée par une amende par l'organisme de réglementation. Vous devez identifier ces informations sensibles et vous assurer qu'elles sont correctement protégées à l'aide de méthodes d'authentification et de chiffrement renforcées.

3. Définir les niveaux de données et les politiques en fonction des risques de l'entreprise

Définissez les niveaux de classification de vos données en fonction de la valeur des différents types de données et du risque commercial que leur exposition peut entraîner. Certaines des questions clés à poser pour déterminer la valeur ou le risque de vos données sont les suivantes :

  • Criticité : quelle est l’importance des données pour les opérations quotidiennes et la continuité des opérations ?
  • Disponibilité : un accès rapide et fiable aux données, est-il important pour votre entreprise ?
  • Sensibilité : quel est l'impact potentiel sur l'entreprise si les données sont compromises ?
  • Intégrité : à quel point est-il important de veiller à ce que les données ne soient pas altérées pendant le stockage ou le transit ?
  • Caractère durable : pendant combien de temps devez-vous conserver les données conformément aux exigences réglementaires ou aux normes de l'industrie ?

Sur la base des paramètres ci-dessus, si vous trouvez que le type de données a un risque élevé pour la valeur ou le commerce, il est important de le classer comme sensible.

4. Opérationnaliser votre politique de classification des données

Voici quelques moyens de mettre en œuvre votre stratégie de classification des données dans l’entreprise.

  • formez les employés sur la nécessité de classer les données pour améliorer la confidentialité et la sécurité : sensibilisez votre public à votre politique et mettez les documents à la disposition de tous vos employés. Planifiez des sessions de formation qui leur apprennent à faire la distinction entre les différentes données qu’elles utilisent et les règles applicables à chaque type. Un autre moyen de promouvoir votre initiative de classification des données consiste à reconnaître ou récompenser les employés qui aident à identifier les violations ou les divergences dans votre politique de protection des données ;
  • intégrez les niveaux de classification des données dans les flux de contrôle métier pour alléger le fardeau des employés : utilisez des stratégies telles que les filigranes, le balisage et l'étiquetage automatisé des données ou l'accès restreint aux données sensibles pour appliquer votre stratégie de classification. Cela aide les utilisateurs à moins identifier la catégorie à laquelle appartiennent les données et comment l’utiliser.



Étiquettes de sensibilité dans Microsoft Word

Stratégies d'accès aux données pour minimiser les risques

Les stratégies technologiques suivantes vous aideront à améliorer votre sécurité globale et à empêcher les employés de révéler par inadvertance des secrets commerciaux.

  • utilisez la segmentation du réseau : la stratégie de segmentation du réseau sépare les réseaux contenant différents types de données et empêche les hôtes de communiquer inutilement. De cette manière, un pirate informatique ayant accès à un appareil compromis sur un réseau ne peut pas accéder aux données sensibles hébergées sur un autre ;
  • réduisez les comptes d’administrateur privilégiés : ne donnez qu’à quelques employés de confiance dotés des droits d’administrateur pour afficher, modifier ou supprimer des fichiers d’entreprise confidentiels. Surveillez attentivement ces comptes privilégiés pour vérifier s’ils sont mal utilisés, exploités ou soumis à des attaques de logiciels malveillants ;
  • limitez le partage : les solutions de sécurité Endpoint peuvent garantir qu'un document étiqueté comme sensible n'est pas copié vers des applications Web tierces ou des périphériques de stockage amovibles tels que des clés USB. Vous pouvez également configurer vos options de sécurité de messagerie pour empêcher les employés d'envoyer des données d'entreprise à des comptes personnels ;
  • amélioration des contrôles d'accès : appliquez des contrôles d'accès stricts, tels que l'authentification multifactorielle et la biométrie, pour accéder aux données confidentielles ou restreintes. Utilisez un courtier de sécurité d’accès au cloud (CASB) pour empêcher l’exfiltration de données vers des services de cloud non autorisés. Activez les restrictions d'accès au réseau pour fermer les ports inutiles ;
  • chiffrez les données confidentielles : utilisez des outils de cryptage pour masquer des données commerciales confidentielles (en transit et inactives). Cela garantit que les personnes non autorisées ne sont pas en mesure de le déchiffrer sans la clé.



Source : GetApp

Et vous ?

Qu'en pensez-vous ?

Existe-t-il une politique d’accès aux données dans votre entreprise ?

Voir aussi

Sécurité : 99 % des employés de bureau ignorent les bonnes pratiques en matière de protection des données, un risque pour eux et leur employeur

Un défaut de sécurité des données des clients de Verizon, aurait exposé des millions d'enregistrements

Facebook, Google, Microsoft et Twitter lancent un projet open source de portabilité des données, pour des transferts directs entre plateformes

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 13/08/2019 à 9:34
Je suis partagé, car il faut tout de même définir "accès à plus de données que nécessaire".
Si on va au plus strict, c'est probablement tout le monde qui a accès a plus de données que nécessaire, mais en soi c'est normal, ce serait un cauchemar à gérer.

Je suis dans une organisation matricielle : programme vs ingénierie.
Généralement chacun d'entre nous à un répertoire réseau dédié par projet. Tant qu'on a pas été sur le projet, on a pas les droits dessus, et c'est plutôt suffisant.
Ensuite, chiffrer nos document serait un problème, un règle chez nous exige que tous nos docs soit déposés en réseau afin d'être consultable par la hiérarchie, si je le crypte, il n'y ont plus accès.

Enfin, j'ai l'impression globalement que cet articles s’adresse plus a des fonctions comme RH, Compta, etc que la production.
2  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 13/08/2019 à 13:53
Citation Envoyé par walfrat Voir le message
Je suis partagé, car il faut tout de même définir "accès à plus de données que nécessaire".
Si on va au plus strict, c'est probablement tout le monde qui a accès a plus de données que nécessaire, mais en soi c'est normal, ce serait un cauchemar à gérer.
Il y a 2 possibilités :
- soit tu pars de "tout le monde a accès à tout", puis tu restreint : non, il n'est pas normal que les développeurs aient accès aux fiches de paye de tout le monde, donc on limite les accès aux fiches de paye,
- soit tu pars de "personne n'a accès à rien", puis tu ouvres : oui, lorsqu'un développeur arrive, il faut le rajouter au groupe "dev" ce qui lui donnera accès à git et aux machines de build. Et s'il se trouve qu'il doit administrer un serveur, il faudra le rajouter plus tard.

Généralement chacun d'entre nous à un répertoire réseau dédié par projet. Tant qu'on a pas été sur le projet, on a pas les droits dessus, et c'est plutôt suffisant.
Lorsque tu quittes un projet, qui vérifie que les droits ont bien été supprimés ? Au bout de 20 ans de boite, il est probable d'avoir accès à (beaucoup) plus que nécessaire.

Ensuite, chiffrer nos document serait un problème, un règle chez nous exige que tous nos docs soit déposés en réseau afin d'être consultable par la hiérarchie, si je le crypte, il n'y ont plus accès.
Si toi tu chiffres, oui. Mais si le stockage est chiffré globablement, le problème ne se pose pas : en cas de vol du disque, les données sont (théoriquement) illisibles, et pourtant tous les gens ayant besoin d'accéder ont accès.

Enfin, j'ai l'impression globalement que cet articles s’adresse plus a des fonctions comme RH, Compta, etc que la production.
Je pense que non, mais que trop de "techniciens" (j'en fais partie, je veux parler ici de gens techniques, comme les dev) ont été mal habitués à avoir accès à tout, tout le temps, et lorsque tu leur enlèves des droits, ils ralent alors qu'ils n'en ont pas besoin.
1  0 
Avatar de walfrat
Membre émérite https://www.developpez.com
Le 15/08/2019 à 9:24
Citation Envoyé par gangsoleil Voir le message
Il y a 2 possibilités :
- soit tu pars de "tout le monde a accès à tout", puis tu restreint : non, il n'est pas normal que les développeurs aient accès aux fiches de paye de tout le monde, donc on limite les accès aux fiches de paye,
- soit tu pars de "personne n'a accès à rien", puis tu ouvres : oui, lorsqu'un développeur arrive, il faut le rajouter au groupe "dev" ce qui lui donnera accès à git et aux machines de build. Et s'il se trouve qu'il doit administrer un serveur, il faudra le rajouter plus tard.

Lorsque tu quittes un projet, qui vérifie que les droits ont bien été supprimés ? Au bout de 20 ans de boite, il est probable d'avoir accès à (beaucoup) plus que nécessaire.

Si toi tu chiffres, oui. Mais si le stockage est chiffré globablement, le problème ne se pose pas : en cas de vol du disque, les données sont (théoriquement) illisibles, et pourtant tous les gens ayant besoin d'accéder ont accès.

Je pense que non, mais que trop de "techniciens" (j'en fais partie, je veux parler ici de gens techniques, comme les dev) ont été mal habitués à avoir accès à tout, tout le temps, et lorsque tu leur enlèves des droits, ils ralent alors qu'ils n'en ont pas besoin.
Je pense que tu as mal compris mon premier point, je parlais pas de la politique de sécurité de type "blacklist/whitelist" mais plutôt que comment tu défini qu'une personne à accès à plus de données que nécessaire. Est ce que c'est parce que j'ai eu accès à un doc de trop ? Un projet dont je ne suis plus dessus ? Toute l'arborescence par défaut ?

Tu l'auras compris, chez moi la politique c'est du whitelist, au niveau projet, donc soit j'ai accès à tous les docs du projet, soit aucun. Et effectivement la suppression des droits lorsque l'on quitte un projet ça n'a pas spécialement tendance à être fait.
Pour le chiffrage, je botte en touche, aucune idée si notre NFS crypte automatiquement.

Enfin pour ton dernier point, je bosse depuis 8 ans, et je n'ai pas été habitué à avoir accès à tout, tout le temps, d'où le fait que je me soins pas trop concerné par l'article.
0  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 15/08/2019 à 11:54
Citation Envoyé par walfrat Voir le message
comment tu défini qu'une personne à accès à plus de données que nécessaire. Est ce que c'est parce que j'ai eu accès à un doc de trop ? Un projet dont je ne suis plus dessus ? Toute l'arborescence par défaut ?
C'est justement le boulot de l'équipe sécurité de savoir ça, en établissant des critères de classification, ce qui necessite de commencer par une étude sur le besoin, etc... Les 3 premiers points du paragraphe " Quelques étapes pour construire une politique de classification des données" en gros. Mais bon, c'est une partie de mon boulot, donc c'est plus facile pour moi.

Le point le plus discutable selon moi est le premier : il vaut mieux demander à tout le monde plutôt qu'au manager. Un bon manager saura répondre, mais la plupart de ceux que j'ai croisé ne savent pas exactement qui a besoin d'avoir accès à quoi.

je bosse depuis 8 ans, et je n'ai pas été habitué à avoir accès à tout, tout le temps, d'où le fait que je me soins pas trop concerné par l'article.
C'est bien, continue comme ça !
0  0