3 exigences essentielles de la classification avancée des données personnelles identifiables

La technologie de classification des données est restée pratiquement inchangée depuis plus d'une décennie. Malgré l'introduction de certaines automatisations, elle est restée largement axée sur les processus, source de frustration pour les professionnels de la sécurité, des données, de l'informatique et autres employés d'entreprise. Si vous consultez d'anciens rapports d'analystes ou des articles datant du milieu des années 2010, vous constaterez que les difficultés rencontrées par les professionnels à l'époque sont similaires à celles auxquelles nous sommes confrontés aujourd'hui.
Mais un changement majeur s'opère dans le domaine de la sécurité des données, impulsé par les technologies cloud-native et sans agent. Nous y reviendrons dans un instant, mais commençons par examiner… classification des données que de nombreux professionnels ont expérimentée et dont ils expliquent pourquoi elle devient rapidement une approche traditionnelle.
Classification des données d'hier
Quels sont les défis posés par la classification des données d'hier ?
Difficile à mettre en œuvre
La classification des données d'hier est difficile à mettre en œuvre. Les équipes doivent d'abord inventorier leurs données, choisir le système de stockage à classifier, puis solliciter l'équipe de développement pour configurer manuellement les connexions à ce système.
L'outil devant pointer vers des bases de données spécifiques, seules les bases de données connues peuvent être classées. De plus, le processus étant très long, les équipes limitent la portée de leur initiative de classification à un petit sous-ensemble de l'environnement.
Fournit des informations limitées
La classification des données d'hier fournit deux principaux résultats : la sensibilité et les étiquettes sémantiques.
La sensibilité ou la confidentialité des données indique le niveau de risque qu'elles encourent en cas de compromission. Parmi les mentions courantes de sensibilité, on trouve « très sensible », « sensible », « usage interne uniquement » et « public ». La nomenclature et le nombre de mentions de sensibilité varient considérablement d'une organisation à l'autre. En l'absence de gouvernance et d'harmonisation adéquates concernant ces mentions, leur nombre peut exploser, entraînant une confusion et des incohérences dans l'étiquetage des données.
Les classes sémantiques, ou simplement « classes de données », sont une brève description du type de données. De nombreux outils, tels que les catalogues de données, les solutions DLP et les clouds publics, offrent des fonctionnalités de base pour la classification des données. Souvent, le résultat de ces outils se limite à des étiquettes qui décrivent ou reflètent le contenu de l'en-tête de colonne d'un tableau. Aucun contexte supplémentaire n'est fourni pour décrire les données elles-mêmes.
Nécessite une intervention humaine constante
Même avec seulement deux sorties principales – la sensibilité et les étiquettes sémantiques – les résultats de la classification sont incomplets et imprécis. Il n'est pas rare qu'un outil de classification n'attribue des étiquettes qu'à certaines données, en omettant d'autres. Les modèles prédéfinis utilisés par les outils de classification d'hier ne peuvent plus suivre la variété croissante et la diversité des formats de données. magasins de données.
Le manque d'exhaustivité et de précision des résultats de classification implique qu'une vérification et une validation manuelles sont nécessaires. De ce fait, l'initiative de classification ne peut s'adapter à la croissance exponentielle des données.
Qu’est-ce que la classification avancée des données PII ?
La classification des données consiste à organiser ces données en catégories pertinentes afin de simplifier leur récupération, leur tri, leur utilisation, leur stockage et leur protection. La classification avancée des données personnelles (PII) est une solution cloud native et sans agent qui, en plus de classifier les données, capture un contexte détaillé à leur sujet avec une grande précision et rapidité.
Les trois exigences essentielles de la classification avancée des informations personnelles identifiables (IPI) sont :
- Vitesse et précision
- Contexte approfondi
- Identification dynamique
Vitesse et précision
Du fait de l'évolution et du déplacement constants des données, la classification doit être simple et rapide.
- En quelques minutes, il se connecte à vos environnements cloud.
- En quelques heures, vous recevrez un inventaire de votre base de données, comprenant notamment : ceux dont vous n'aviez pas connaissance
- Sous un ou plusieurs jours, vous recevrez des classifications ainsi qu'un contexte détaillé des données concernant vos données sensibles.
Ce processus ne nécessite aucun agent, aucune surcharge et n'entraîne aucune dégradation des performances. Hautement automatisé, il exploite l'apprentissage automatique non supervisé pour analyser des pétaoctets de données à une vitesse incroyable.
Mais cette rapidité n'est utile que si la classification des données est extrêmement précise. La classification constitue le fondement de la prévention des pertes de données (DLPet les politiques de gouvernance des accès aux données (DAG). La classe de données indique les contrôles les plus appropriés au niveau de risque que présentent les données. Elle précise les protections applicables, les personnes autorisées à y accéder et les modalités d'accès. obscurciUne classification très précise permet aux politiques DLP et DAG de protéger plus efficacement les données sensibles.
Les politiques DLP fonctionnent en détectant la sensibilité ou la classification des données et en appliquant des mesures de protection prédéfinies. Par exemple, vous pouvez configurer une politique DLP pour empêcher la copie ou le déplacement de données étiquetées comme à haut risque vers un environnement non autorisé. Si l'étiquette de sensibilité est erronée (par exemple, si des données à haut risque sont marquées comme publiques), la politique DLP ne pourra pas intervenir lors de la copie ou du déplacement des données.
À l'instar des politiques DLP, les politiques DAG utilisent des étiquettes de sensibilité ou de classification comme conditions d'action. Elles déterminent qui doit avoir accès aux données et comment celles-ci doivent être obfusquées : en clair ou chiffrées. Par exemple, vous pouvez configurer une politique DAG pour chiffrer les données hautement sensibles et en restreindre l'accès au seul service propriétaire. Si une étiquette de sensibilité est erronée, la méthode d'obfuscation et contrôles d'accès car les données ne seront pas appliquées correctement.
En garantissant une classification facile à mettre en œuvre, rapide à exécuter et produisant des classes de données très précises, Cyera aide les entreprises à suivre le rythme des changements dans le cloud.
Contexte approfondi
Le contexte peut être décomposé en quatre catégories : données, surface, contrôles et risques.
- Contexte des données – nous indique les caractéristiques qui définissent les données
- Contexte de surface – nous renseigne sur l'environnement dans lequel les données sont stockées.
- Contexte des contrôles – indique les protections mises en place pour garantir la sécurité et l'intégrité.
- Contexte de risque – nous indique les cadres qui régissent les données
Explorons comment un contexte de données approfondi, décomposé en ces catégories, influence notre posture de sécurité, à l'aide d'exemples récents de violations de données.
Exemple 1 : News Corp 2022
Hackers journalistes de News Corp ciblés qui traitaient de sujets géopolitiques sensibles. Les pirates informatiques avaient infiltré le réseau de News Corp pendant deux ans, ce qui leur a permis d'effectuer de nombreuses reconnaissances et d'identifier des failles de sécurité. Les données personnelles de dizaines d'employés ont été compromises.
Contexte des données :
- Rôle de la personne concernée : Les pirates informatiques ont spécifiquement ciblé employés.
- Résidence: Les journalistes dans certaines régions, par exemple aux États-Unis ou à Taïwan, étaient probablement visées.
- Identifiabilité : Certaines catégories de données, comme le prénom, le sexe ou l'âge, peuvent être considérées comme sensibles, mais prises isolément, elles ne permettent pas d'identifier une personne en particulier. L'identifiabilité des données détermine si les données compromises peuvent être rattachées à une personne spécifique. Et si tel est le cas, elles sont plus précieuses pour les pirates informatiques.
- Unicité: Le contexte révèle des catégories de données propres à une entreprise. Par exemple, les « domaines de spécialisation » des journalistes, en tant que catégorie de données, sont probablement propres à News Corp et aux entreprises de médias de masse.
Exemple 2 : Bonobos, une filiale de Walmart (2021)
Hackers a obtenu l'accès à une base de données de sauvegarde dans un environnement cloud externe, vol d'un fichier SQL de 70 Go contenant des adresses de clients, des numéros de carte de crédit partiels et des historiques de mots de passe.
Contexte des contrôles :
- Méthode de protection : Heureusement, seuls les quatre derniers chiffres des numéros de carte bancaire ont été conservés et les mots de passe ont été hachés. Le contexte nous indique si les données ont été masquées, chiffrées, transformées par une autre méthode ou exposées en clair.
- Sauvegardes : Des pirates informatiques ont infiltré une sauvegarde. Le contexte révèle l'existence de sauvegardes et indique si elles contiennent ou non des données sensibles.
Contexte de risque :
- Risques réglementaires : Conformité PCI formule des exigences relatives au stockage sécurisé des informations sur les cartes de crédit.
Exemple 3 : Capital One 2019
Un pirate informatique analyse des comptes AWS mal configurésElle a accédé au système et téléchargé les données. Elle a dérobé plus de 140 000 numéros de sécurité sociale et causé 250 millions de dollars de dommages.
Contexte des contrôles :
- Accéder: Le pirate a ciblé des comptes mal configurés qui disposaient probablement d'un accès trop permissif, ce qui en faisait une cible facile.
Contexte des données :
- Combinaisons toxiques : Des numéros de sécurité sociale associés à des coordonnées bancaires ont été volés. Le regroupement de ces deux types de données accroît le risque d'utilisation frauduleuse.
Contexte de surface :
- Déploiement dans le cloud : Le pirate informatique a analysé les bases de données AWS.
- Type d'environnement et volume de données : Le pirate a probablement effectué une reconnaissance pour déterminer les cibles les plus importantes, qui étaient vraisemblablement des environnements de production contenant de grands volumes de données sensibles.
Identification dynamique
Si les données sont évolutives, notre compréhension de ces données et des risques qu'elles comportent doit l'être également. La classification des données d'hier offre une description statique : si ces données étaient qualifiées de non sensibles, elles le restent malgré les modifications apportées aux données et à leur environnement.
L'identification dynamique offre une précision extrêmement élevée pour la compréhension des données, car elle enregistre les modifications apportées aux données en analysant les relations entre les classes de données au sein d'un ensemble de données. Par exemple, une classe de données contenant :
- Le « prénom » ne renvoie pas à une personne.
- « Prénom » + « Nom » + « Âge » : ces éléments combinés renvoient à une personne.
- L’association du prénom, du nom, de l’âge et du numéro de sécurité sociale rend les données confidentielles ou privées.
Grâce à cette capacité, l'identification dynamique des situations où la proximité crée des informations privées et sensibles nous aide à prioriser les problèmes en matière de défense et de conformité, en nous informant sur l'évolution des niveaux de risque des données et en repérant les combinaisons de données toxiques qui présentent le plus fort potentiel d'utilisation abusive.
La classification des données d'hier ne tient pas compte des nuances : s'agit-il d'informations personnelles de clients ou d'employés ? Les solutions DLP et autres, basées sur des expressions régulières, peuvent facilement induire les données en erreur en qualifiant certaines catégories de données, comme l'adresse e-mail ou le nom, d'informations personnelles, faute de contexte permettant de les distinguer. Par exemple, une adresse e-mail personnelle est une information personnelle, contrairement à une adresse e-mail professionnelle.
Cyera est la seule plateforme de sécurité des données offrant une identification dynamique permettant une détection avancée des données personnelles, vous offrant ainsi une vision complète de ces données dans votre environnement et une visibilité, une gestion des risques et des rapports de conformité plus précis. Vous pouvez ainsi renforcer votre sécurité des données et mettre en œuvre une réponse efficace aux incidents.
Se détacher d'hier
De nombreuses affirmations sont faites quant aux capacités réelles des fournisseurs de technologies en matière de classification avancée des informations personnelles identifiables (PII).
Voici les questions clés à se poser lors de la recherche d'une classification PII avancée :
- Quels sont des exemples concrets de contexte que cette technologie peut révéler ?
- À quelle vitesse les données peuvent-elles être classées ?
- Comment détecte-t-on et classe-t-on des données dont je n'ai pas encore connaissance ?
- Dans quelle mesure les résultats de la classification sont-ils précis ?
- Et pouvez-vous me le montrer en moins de 5 minutes ?
Ou demandez simplement : « Que diriez-vous, que faites-vous ici (pour contextualiser les données) ? »

Poursuivre la classification avancée des informations personnelles identifiables
La plateforme de sécurité des données de Cyera fournit un contexte approfondi sur vos données, en appliquant des contrôles corrects et continus pour assurer la cyber-résilience et la conformité.
Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation et appliquant de multiples niveaux de défense. Grâce à une analyse approfondie et globale de votre environnement de données, Cyera est la seule solution permettant aux équipes de sécurité de localiser leurs données, d'identifier les risques et d'intervenir immédiatement pour y remédier et garantir la conformité, sans perturber l'activité.
Découvrez quelles classes de données et quel contexte Cyera peut révéler sur votre environnement. planifier une démonstration aujourd'hui.

.jpg)

