Cinq défis de sécurité des données auxquels les RSSI sont confrontés aujourd'hui

Rien n'est plus enrichissant que de rencontrer des clients et des prospects capables d'exprimer clairement les problèmes auxquels ils sont confrontés, tant en tant qu'entreprise qu'en tant qu'organisation de sécurité, qu'il s'agisse des pressions du conseil d'administration et des régulateurs ou de la gestion des ressources, y compris les personnes et les outils qui les accompagnent. Ces échanges peuvent avoir lieu dans des hôtels autour de la RSA Conference à San Francisco, sur des rooftops à Manhattan, et partout ailleurs entre les deux.

J'ai eu la chance de participer à des dizaines de ces conversations ces derniers mois, et j'ai constaté les points communs qui les traversent, que ce soit avec un RSSI d'une grande banque ou un responsable de la sécurité d'une entreprise mondiale de télécommunications. Chacun apporte une perspective unique et fait face à des défis différents. Tous sont sincères et engagés à faire de leur mieux pour leur organisation et leurs équipes.

Ils partagent généralement la pression venant d'en haut, que ce soit de la direction générale, du conseil d'administration, des régulateurs, ou de tous ces acteurs à la fois. Les stratégies qu'ils choisissent impliquent toutes des compromis. Ils ne disposent pas de budgets illimités pour tout faire et tout essayer. Généralement, c'est un mélange de solutions développées en interne, de produits de fournisseurs et de services de sécurité gérés externalisés d'une sorte ou d'une autre.

La plupart des stratégies de sécurité des entreprises protègent les réseaux, les terminaux et les identités. La sécurité des données est une priorité, mais elle n’est souvent pas au cœur des stratégies de sécurité. Avec l’introduction massive de la GenAI dans l’entreprise, les responsables de la sécurité réévaluent leur approche de la sécurité des données, en commençant par l’utilisation interne de la GenAI. L’attention se porte presque universellement sur CoPilot et les applications de productivité comme Slack, qui peuvent être difficiles à gérer lorsque plusieurs instances sont utilisées dans l’environnement.

Pour les dirigeants de la cybersécurité qui peinent à concevoir une stratégie de sécurité des données, vous n'êtes pas seuls. Après avoir écouté des RSSI de presque tous les secteurs, j'ai identifié cinq défis majeurs en matière de sécurité des données auxquels sont confrontés même les meilleurs responsables de la sécurité :

1. Comprendre quelles données existent dans leur environnement - C'était un point intéressant. Concernant leurs environnements sur site, la plupart pensent avoir une bonne idée de leur empreinte de données. Mais, quand il s'agit de SaaS et de cloud public, ils ont vraiment eu des difficultés. Les outils de sécurité des données sur lesquels ils s'appuyaient pour leurs centres de données étaient, de leur propre aveu, peu efficaces pour aider à découvrir et classifier les données en dehors de leur périmètre d'entreprise. Avec des données si démocratisées dans l'environnement de travail actuel, ils estiment que si les données étaient déplacées vers le SaaS ou le cloud public, ils seraient considérablement exposés.
2. Connaître la sensibilité de leurs données - Beaucoup ont reconnu que toutes leurs données n’étaient pas égales, mais qu’ils n’avaient aucun moyen simple de déterminer quelles données étaient les plus critiques pour leurs opérations de sécurité. Leurs solutions sur site utilisaient des moteurs de classification basés uniquement sur des expressions régulières et la recherche de motifs, ce qui entraînait de nombreux faux positifs — nécessitant une intervention manuelle pour la classification — et ils n’étaient pas capables de classifier précisément au niveau du fichier ou de l’objet. Cela devient de plus en plus important à l’ère des règles obligatoires de divulgation des violations de données.
3. La répartition de l'infrastructure des données - De nombreuses grandes entreprises possèdent des données chez les trois principaux fournisseurs de cloud public (AWS, Azure et Google), dans des solutions SaaS (principalement de Microsoft), ainsi qu'en local. Beaucoup n'ont aucune idée précise de la quantité de données présentes dans ces environnements, ni s'il existe des doublons de données dans leur environnement. Ces informations permettraient de prendre des décisions stratégiques concernant leur infrastructure, et éventuellement d'améliorer l'hygiène des données en supprimant certaines d'entre elles, ou en migrant vers une infrastructure moins coûteuse pour réduire la surface d'attaque et les coûts de stockage des données.
4. La relation entre l'identité et les données - Il n'est pas surprenant que les humains, les groupes d'humains et les identités non humaines (appareils) aient besoin d'accéder aux données de l'entreprise. De nombreux responsables de la sécurité s'inquiètent de l'accès aux données. C'est sans doute l'un des enseignements les plus marquants que j'ai tirés. Je n'avais vraiment envisagé le zero trust que dans le contexte de l'accès sécurisé, de la sécurité des terminaux et du domaine des fournisseurs d'identité. Le zero trust s'applique tout autant aux données au repos, mais ce sujet n'est jamais abordé. Est-il temps de parler de « Zero Trust Data Access » (ZTDA) ?.
5. Données de confidentialité Réponse aux incidents - La capacité à détecter les anomalies de données (utilisateurs accédant de manière aléatoire à des données PII), à maintenir la conformité PII et à minimiser l'impact d'un incident de données étaient des préoccupations majeures pour beaucoup – et représentaient des défis évidents. Il est indispensable d’aligner la réponse aux violations sur les réglementations pertinentes, mais la capacité à déterminer facilement quelles données PII ont été affectées lors d’un incident de données est le graal absolu. Pensez à l’incident de Change Healthcare. Ne pas savoir quelles données PII faisaient partie de l’attaque par ransomware a empêché l’entreprise d’informer en temps voulu les clients dont les données PII avaient été touchées. Ce fut une révélation marquante pour tous les responsables de la sécurité – les poussant à rechercher un partenaire en sécurité des données pour les accompagner dans ce type de situation.

Réfléchissez à ces cinq défis. Si vous êtes un responsable de la sécurité, avez-vous une solution pour chacun d’eux ? Si oui, vous êtes en avance sur votre temps. Sinon, il n’est pas trop tard pour commencer à chercher. Nous, chez Cyera, serions ravis de vous aider. Au pire, je serai toujours heureux de vous mettre en contact avec mes invités du dîner.

Pour en savoir plus sur la façon de relever les défis de la sécurité et de bâtir une culture de sécurité résiliente, consultez notre épisode de podcast avec des experts du secteur qui expliquent comment évaluer et renforcer votre programme de sécurité.