Les fuites de données très médiatisées nous rappellent à tous que la sécurité des données est une priorité absolue pour les entreprises. Si vous avez récemment lu notre blog sur le retour sur investissement en matière de sécurité, vous avez peut-être découvert que les entreprises ont désormais une chance sur quatre de subir une fuite de données qui leur coûtera environ 2,21 millions de dollars au cours des deux prochaines années. Les conséquences d'une fuite sont notamment une baisse de la fidélité des clients, une méfiance, une perte potentielle de revenus et une réputation négative de la marque.
Inventaire des actifs
Une visibilité des actifs matériels et logiciels que vous possédez dans votre réseau et votre infrastructure physique vous aidera à mieux comprendre la posture de sécurité de votre organisation. Un inventaire des actifs peut également être utilisé pour établir des catégories et des évaluations autour des menaces et des vulnérabilités auxquelles vos actifs peuvent être confrontés. Les catégories et les classements de ces vulnérabilités peuvent vous aider à mieux hiérarchiser les efforts de remédiation qui seront déployés sur ces actifs.
Les fuites de données mettent l'accent sur la protection des points d'accès. Un antivirus n'est pas suffisant pour empêcher une fuite de données majeure. En fait, si vous vous fiez uniquement à la protection antivirus, vous laisserez vos terminaux, comme les ordinateurs de bureau et les ordinateurs portables, exposés. Vos ordinateurs de bureau et portables peuvent devenir une porte d'entrée majeure pour les fuites.
Une solution complète pour les points d'extrémité utilise le cryptage pour prévenir la perte et la fuite de données et applique des politiques de protection des données unifiées à tous vos serveurs, réseaux et points d'extrémité, réduisant ainsi le risque de fuite de données.
Gestion des vulnérabilités et de la conformité
L'utilisation d'un outil de gestion de la vulnérabilité et de la conformité (VCM) ou, à tout le moins, la réalisation d'une évaluation de la vulnérabilité vous aidera à identifier les lacunes, les faiblesses et les mauvaises configurations de sécurité au sein de vos environnements physiques et virtuels. La VCM peut surveiller en permanence votre infrastructure et vos actifs informatiques pour détecter les vulnérabilités et les faiblesses de conformité et les meilleures pratiques de configuration.
Parmi les avantages qui contribueront à atténuer une fuite de données, citons le fait de permettre à votre équipe de sécurité de mieux comprendre les risques de vulnérabilité de l'environnement, c'est-à-dire le paysage des menaces, et les priorités concernant ce qui doit être corrigé. Un bon VCM vous permettra de créer un plan d'action pour remédier à ces vulnérabilités et de les attribuer aux membres du personnel concernés.
Audits réguliers de la posture de sécurité
La réalisation d'audits réguliers pour identifier les nouvelles lacunes potentielles en matière de conformité ou de gouvernance vous aidera à valider votre posture de sécurité. Un audit de sécurité est une évaluation plus approfondie de vos politiques de sécurité que l'évaluation de la vulnérabilité ou les tests de pénétration. Un audit de sécurité tient compte de la nature dynamique de l'organisation ainsi que de la manière dont elle gère la sécurité de l'information.
Les questions courantes qui peuvent être soulevées lors de l'audit de sécurité sont les suivantes :
- Votre organisation dispose-t-elle de politiques de sécurité de l'information documentées ?
- Disposez-vous d'un processus de gestion, de profils d'escalade, de procédures documentées et suivies, d'un cahier des charges en cas d'incidents ou de fuites ?
- Avez-vous mis en place des mécanismes de sécurité réseau (pare-feu nouvelle génération, IDS/IPS, EPP, etc.) ?
- Avez-vous mis en place une surveillance de la sécurité et des journaux ?
- Existe-t-il une politique de cryptage et de mots de passe ?
- Existe-t-il un plan de reprise après sinistre et de continuité des activités ?
- Les applications sont-elles testées pour détecter les failles de sécurité ?
- Un processus de gestion du changement est-il en place à tous les niveaux de l'environnement informatique ?
- Comment les fichiers et les médias sont-ils sauvegardés ? Qui pourra accéder à cette sauvegarde ? Les procédures de restauration sont-elles testées ?
- Les journaux d'audit sont-ils examinés ? Quand les journaux d'audit de sécurité sont-ils examinés ?
Former et éduquer votre personnel
Après avoir effectué vos audits de politique de sécurité, vous pouvez mettre en place une politique écrite à l'intention des employés concernant la confidentialité et la sécurité des données. Vous voudrez organiser régulièrement des formations sur la sécurité afin que tous les employés soient au courant de ces politiques nouvellement créées – après tout, les gens ne peuvent pas se conformer volontairement à des politiques qui ne leur sont pas familières. Lors de l'établissement de votre politique de sécurité pour les employés, vous pouvez envisager une formation sur les points suivants :
- Le contrôle de l'accès et des privilèges des utilisateurs finaux dans le cadre de la politique commune appelée “moindre privilège”.
- L'utilisation de mots de passe variés et uniques sur les ordinateurs ou autres appareils utilisés à des fins professionnelles
- Mettre en place un système documenté pour le départ des employés et des vendeurs/contractants (mots de passe, cartes-clés, accès aux ordinateurs portables, etc.)
- Formez les employés à l'importance de signaler les fuites de données suspectes ou les fuites de données.
- Créez une politique décrivant comment les employés doivent manipuler, éliminer, récupérer et envoyer des données.
Les employés doivent également être formés aux types d'attaques de phishing modernes. Comme nous l'avons expliqué dans notre blog sur les ransomwares, le phishing est le moyen le plus courant pour les ransomwares de se propager au sein d'une organisation. Si vous pouvez former et éduquer vos employés sur les pièges et les indicateurs à rechercher dans un courriel de type “phishing”, votre organisation sera bien servie.
Vous pouvez également envisager de créer un ambassadeur au sein de votre organisation qui pourra diriger et superviser ces différents sujets de formation à la sécurité de l'information jusqu'à leur aboutissement.
La prévention des fuites de données peut sembler une opération fastidieuse. Si vous adoptez une approche stratifiée de la sécurité, avec diverses mesures, politiques et procédures pour atténuer les menaces, vous serez dans une bien meilleure situation que si vous permettez à votre organisation de rester détendue face à un paysage de menaces en constante évolution.