Dans mon dernier article expliquant comment éviter les fuites de données, j’ai détaillé une feuille de route sur 30, 60 et 90 jours permettant d’assurer une collaboration productive au sein des organisations tout en garantissant la protection de leurs informations sensibles. Il est maintenant temps de passer à l’étape suivante pour sécuriser les données de votre organisation.
Améliorer le recensement de vos données, modifier et mettre à jour les règles à respecter en fonction des stratégies de l’organisation et pourvoir vos documents d’étiquettes exploitables n’est que le début d’une feuille de route de protection contre la perte de données (DLP) efficace. Il vous faudra peut-être même affiner votre concept à plusieurs reprises vers la fin de votre feuille de route de 90 jours, ce qui est tout à fait normal ! Toutes les données ne sont pas sensibles, et le risque ne se limite pas aux données elles-mêmes : le facteur humain constitue lui aussi un risque et est à l’origine de violations.
Les organisations doivent identifier les informations contenues dans un document, un élément ou un système donné, mais aussi tout élément connexe livrant le contexte des données (par exemple l’usage qui est fait des informations). Ainsi, une solution DLP classique serait probablement capable de détecter les documents sensibles contenant des informations de carte de crédit dans les dossiers du service financier. Cependant, en l’absence de contexte, cela ne permettrait pas de déterminer si les informations sont menacées. Voici un domaine dans lequel le logiciel Compliance Guardian d’AvePoint excelle : il détecte aussi bien le contexte que le contenu.
Les trois scénarios possibles : risque minime, risque modéré, cauchemar
Toutes les informations ne sont pas sensibles, et toutes les violations n’ont pas un impact aussi négatif les unes que les autres sur votre organisation. Voici trois scénarios présentant des facteurs de risque différents si une violation est constatée :
John, du service marketing, a partagé un fichier via SharePoint/SharePoint Onlineavec des correspondants externes à l’organisation.
Mary, du service RH, a partagé un fichier contenant moins de 10 numéros de sécurité sociale via SharePoint/SharePoint Online avec des correspondants externes à l’organisation.
Bob, du centre d’appels, a partagé un fichier contenant plus de 10 numéros de sécurité sociale via SharePoint/SharePoint Online avec des correspondants externes à l’organisation.
Dans le cas de John, nous ne connaissons pas le contenu du fichier, mais nous savons qu’un fichier a été partagé à l’extérieur de l’organisation. Cela peut ou non constituer un risque, car partager le contenu concerné peut faire partie de ses tâches quotidiennes ; il est toutefois bon d’être au courant de ce type d’événement. Nous dirons qu’il s’agit ici d’un exemple présentant un risque minime (selon le ou les correspondants avec lesquels les informations sont partagées).
Dans le cas de Mary, le risque peut être considéré comme modéré, compte tenu de l’action (partage externe) et de l’information (partage de données personnelles) dont il s’agit. Elle travaille aux ressources humaines, donc nous pouvons supposer que cette action s’inscrit dans le cadre de ses activités quotidiennes (faites confiance, mais vérifiez systématiquement).
Dans le cas de Bob, le risque est assez élevé compte tenu de l’action concernée (partage externe), de la quantité d’informations dont il est question (des informations d’identification personnelle concernant plus de 10 personnes) et du simple fait que Bob ait pu se procurer ce genre d’informations (ce qui sera le sujet d’un prochain article de blog).
Comment automatiser la protection contre la perte de données en fonction du risque à l’aide de Compliance Guardian
Compliance Guardian d’AvePoint vous permet de facilement créer et automatiser l’analyse du scénario de Bob, à commencer par la création d’un contrôle du contexte. Dans ce cas, nous voulons contrôler si un document est partagé à l’extérieur de l’entreprise. À la fin du processus, nous définissons la Probabilité (nous sommes certains à 100 % que l’activité a eu lieu) et la Gravité (le partage externe d’un document peut avoir un impact minime, à moins que le contenu du document n’engendre un risque plus élevé).
Cliquez pour apprendre comment créer un contrôle du contexte pour savoir si un document a été partagé en externe.
L’étape suivante consiste à intégrer le contrôle à une suite de tests (modèle). À ce stade, nous pouvons commencer à identifier les actions de Mary et de Bob. Dans le cadre de ces suites de tests, nous pouvons demander à Compliance Guardian de vérifier s’il y a eu partage externe et si des documents contiennent des numéros de sécurité sociale. Nous pourrions aussi ajouter d’autres demandes si nous avions besoin d’identifier plusieurs cas d’utilisation ou différents types de données en une seule opération.
Lors de la définition d’une suite de tests, il est possible de bâtir une logique sur la base de plusieurs critères, par exemple :
« S’il s’agit du cas d’utilisation de Bob (partage externe de plus de 10 numéros de sécurité sociale), classer cette action dans la catégorie Risque extrême, » ou
« S’il s’agit du cas d’utilisation de Mary (partage externe de moins de 10 numéros de sécurité sociale), classer cette action dans la catégorie Risque modéré ».
Cliquez pour apprendre comment ajouter des contrôles et créer un modèle dans Compliance Guardian.
La dernière étape consiste à créer un plan d’analyse et à automatiser les contrôles de sécurité sur la base des niveaux de risque décrits dans nos exemples. Nous sélectionnons SharePoint comme source, nous incluons la suite de tests que nous avons créée, puis nous commençons à construire nos règles d’action comme suit :
Si le niveau de risque est modéré (le scénario de John), envoyer automatiquement une notification au service informatique pour créer un rapport d’incident qui fera l’objet d’un contrôle et d’un suivi ultérieurement. Notez que, dans ce cas, nous n’empêchons pas John de partager le fichier, mais nous sommes avertis de qui a fait quoi, à quel endroit et à quel moment.
Vient ensuite le scénario de Mary. Nous ne sommes pas opposés au fait que Mary partage des fichiers à l’extérieur de l’organisation, c’est pourquoi il est probable que nous souhaitions uniquement mettre ces fichiers en quarantaine et créer un rapport d’incident au sujet du risque potentiel. Ce scénario est évoqué dans la feuille de route à 30, 60 et 90 jours dans le cadre du déploiement de solutions DLP et nécessite que vous analysiez constamment qui fait quoi dans votre organisation. N’oubliez pas que « Faire confiance, mais vérifier » est votre meilleure stratégie en cas de violation et qu’avoir un mécanisme de surveillance, de signalement et de prévention d’actions indésirables est mieux que de ne pas en avoir.
Enfin, si nous repérons le scénario de Bob, il est souhaitable d’automatiser une action de suppression capable de prévenir ou de limiter le risque. En outre, nous pouvons créer un incident qui puisse faire l’objet d’un suivi et générer une piste d’audit.
Cliquez pour apprendre comment créer une règle d’action pour vous protéger contre la perte de données dans Compliance Guardian.
Les exemples qui précèdent sont simples et efficaces, mais toutefois importants lors du déploiement d’une solution de protection contre la perte de données. L’intérêt de Compliance Guardian est que la solution automatise le processus d’inventaire des données dans plusieurs systèmes en vous permettant d’activer des règles d’action portant à la fois sur le contenu et sur le contexte, et ce dans le but de protéger les données sensibles sans empêcher la collaboration.
Dans le prochain article de blog, nous nous pencherons sur la question que se posent sans doute tous les responsables ou techniciens chargés de la sécurité des informations qui ont lu cet article : « Comment Bob a-t-il eu accès au fichier contenant plus de 10 numéros de sécurité sociale ? ».
Demandez une démonstration et découvrez comment Compliance Guardian peut vous aider à garder à l’œil les données de votre organisation à l’aide d’outils de classification et de contrôle des données puissants.
Vous souhaitez plus de conseils sur la meilleure manière de protéger vos données ? Abonnez-vous à notre blog !
Spenser Bullock is a former AvePoint Channel Solutions Engineer, focused on enabling partners and their customers to utilize and maximize their Microsoft 365 technology adoption and usage.