Masquage dynamique des données : la pièce manquante dans la sécurité DBaaS

Un contrôle d'accès efficace constitue un défi majeur dans les entrepôts de données d'entreprise, en particulier ceux construits sur des plateformes telles que Snowflake, BigQuery et Redshift. Ces entrepôts centralisent de grands volumes de données sensibles, qui ne cessent de croître et d'évoluer à mesure que les organisations s'appuient sur elles pour l'analyse et le développement de leur activité. Malgré cette nature dynamique, les contrôles d'accès au niveau des données restent souvent statiques—lorsqu'ils sont mis en place—exposant ainsi ces dépôts de données critiques à des risques de sécurité potentiels.

L'une des fonctionnalités les plus recherchées dans un modèle de sécurité centré sur les données est le masquage dynamique des données. Le masquage dynamique obscurcit ou hache automatiquement les données sensibles, comme les numéros de compte bancaire, pour les utilisateurs non autorisés, tout en permettant une visibilité totale à ceux disposant des droits d'accès appropriés. Par exemple, vos analystes de données peuvent toujours avoir besoin de voir une partie des données d'achat à des fins d'analyse, mais ils n'ont certainement pas besoin de voir les numéros de compte réels et identifiables en clair.

Une étude de cas réelle dans Snowflake

L'un de nos clients a récemment utilisé la classification et les workflows de remédiation de Cyera pour masquer automatiquement des données sensibles dans Snowflake. Voici un aperçu étape par étape de leur démarche, illustrant le workflow de bout en bout en action.

Contexte :

• L'entrepôt de données du client stockait souvent les données de transaction des clients avec les numéros de compte en texte clair.
• À mesure que de nouveaux jeux de données étaient ajoutés, ces numéros de compte étaient fréquemment exposés à l'ensemble de l'équipe d'analyse de données, créant ainsi des risques de sécurité et de conformité.
• L'objectif : détecter automatiquement les numéros de compte et masquer les données afin d'empêcher les analystes de données de voir les numéros de compte complets (seuls les six derniers chiffres seront visibles).

Politique de masquage :

• Le client a défini une politique de masquage personnalisée pour masquer tous les chiffres des numéros de compte, à l'exception des six derniers. Seuls les administrateurs de l'entrepôt avaient l'autorisation de voir les numéros de compte en texte clair dans leur intégralité.
• Traditionnellement, les administrateurs s'appuient sur des commandes SQL manuelles pour appliquer, modifier ou supprimer des politiques de masquage, un processus inefficace et sujet aux erreurs qui peine à suivre le rythme des environnements de données en constante évolution.

Classification des données via Cyera :

• Cyera a analysé la base de données Snowflake et a identifié des colonnes contenant des numéros de compte en texte clair.
• Le client a configuré un workflow afin de prendre la classification identifiée par Cyera et d'appliquer une politique de masquage dynamique aux colonnes contenant des numéros de compte.
• Bien que le cas d'utilisation initial de ce client ait été simple, le moteur de classification avancé de Cyera apprend en continu l'environnement afin de détecter et masquer automatiquement de nouveaux types de données.

Application dynamique :

• Ce workflow s'exécute à mesure que de nouvelles données sont analysées. Au lieu d'identifier et d'appliquer manuellement des politiques de masquage, le client s'appuie sur Cyera pour suivre les nouvelles colonnes contenant des numéros de compte à mesure que les données sont créées dans Snowflake, éliminant ainsi le besoin d'une intervention manuelle.

À retenir :

• Avec Cyera, les organisations peuvent identifier dynamiquement les données sensibles, appliquer les bonnes politiques de masquage et les maintenir à jour sans travail manuel interminable. Cela élimine une charge opérationnelle majeure et garantit que si de nouvelles données (par exemple, de nouvelles colonnes, tables ou bases de données) contiennent des informations sensibles, elles sont automatiquement masquées.

Activation de la remédiation dynamique à grande échelle

Bien que cela mette en avant le masquage des numéros de compte dans Snowflake, il s'agit d'une partie d'un cadre de remédiation plus large que nous développons chez Cyera. En plus du masquage, les organisations peuvent utiliser notre plateforme pour :

• Classification et étiquetage des données
  
  • La classification automatisée de Cyera étiquette les données afin de garantir que toutes les données sensibles soient correctement identifiées et régies, pour pouvoir être masquées dynamiquement par la suite.
• Contrôles d'accès dynamiques
  
  • Le moteur de classification de Cyera aide à appliquer des politiques de moindre privilège basées sur la sensibilité des données en temps réel. Cyera offre aux équipes de sécurité et de conformité une visibilité continue sur l’emplacement des données sensibles, leur utilisation et les personnes qui y ont accès. Notre plateforme peut automatiser les contrôles d’accès afin de limiter les permissions excessives et garantir la sécurité des informations sensibles.
• Application de la conformité
  
  • Cyera met automatiquement à jour les autorisations pour les nouvelles données ou celles reclassifiées, ce qui est essentiel pour respecter des normes réglementaires strictes telles que DORA, RGPD et HIPAA.

Cela permet de bénéficier d'avantages, tels que :

• Surexposition réduite : les utilisateurs et les rôles ne disposent plus de privilèges étendus dont ils n'ont pas besoin.
• Remédiation rapide et automatisée : plus besoin de revue manuelle ou de scripts complexes pour masquer les colonnes sensibles.
• Sécurité continue : à mesure que les données évoluent ou que de nouvelles données apparaissent, Cyera met à jour la classification, la sensibilité et les politiques en conséquence, garantissant que votre posture de sécurité n'est jamais statique.

Sécurisez vos données, pas seulement le périmètre

Les données sont le nouveau périmètre. Avec l'adoption croissante du cloud, les contrôles d'accès traditionnels basés sur le réseau ou les applications ne parviennent plus à empêcher l'accès non autorisé aux données sensibles. Les acteurs de la menace modernes peuvent facilement contourner les défenses périmétriques grâce à des attaques de phishing, des identifiants compromis ou même des initiés malveillants.

Les contrôles d'accès basés sur les applications reposent souvent sur des autorisations statiques et manquent de visibilité sur les données sous-jacentes, ce qui les rend inefficaces face au vol d'identifiants et aux menaces internes.

Pour répondre à cela, les organisations passent de la question « À quelles ressources réseau un utilisateur doit-il accéder ? » à « À quelles données spécifiques, et sous quelles conditions, un utilisateur doit-il pouvoir accéder ? »

Aujourd'hui, la sécurisation des données au repos et en transit, ainsi que la gestion des accès, nécessite une approche centrée sur les données. La plateforme de Cyera offre une automatisation de bout en bout—de la classification aux contrôles d'accès, en passant par le masquage dynamique et au-delà—garantissant que vos équipes puissent se concentrer sur l'innovation sans sacrifier la conformité ou la sécurité.

Demandez une démo dès aujourd'hui pour découvrir la plateforme Cyera.