5 étapes pour renforcer la protection des informations sensibles

0
241

Selon de nombreuses enquêtes, la cybersécurité et la protection des données sensibles en particulier sont toujours des questions primordiales. Les services informatiques disposent aujourd’hui d’innovations très avancées en matière de cybersécurité : l’authentification forte et la détection des menaces en temps réel par exemple sont des sujets matures qu’il est primordial d’avoir mis en place. Pourtant, il reste des points de préoccupations majeurs pour les organisations : la protection et la sécurité de l’information et de la donnée, les fuites de données, l’accès non autorisé à l’information et la non-conformité réglementaires sont des sujets de sécurité générant les plus fortes inquiétudes.

Tribune OpenText Cybersecurity – Pour répondre à ces enjeux, une approche proactive et automatisée de la protection et de la gouvernance de l’information fondée sur le Zero Trust doit être adoptée.

5 étapes proactives à suivre pour garantir une posture Zero Trust :

1. Organiser les contrôles et la gestion du contenu autour de classifications professionnelles significatives

La normalisation des pratiques commerciales et l’organisation du contenu et des données, par entités telles que les clients, les projets ou les événements, peuvent aider une organisation à assurer la prévisibilité des risques et à améliorer la participation et la conformité des utilisateurs.

Lorsque l’entreprise dispose d’un processus établi et reproductible qui exige un traitement sécurisé du contenu, le système est en mesure d’appliquer naturellement les contrôles de protection de l’information appropriés. L’automatisation de la classification du contenu et du contrôle d’accès dans le cadre de ces processus d’entreprise est beaucoup plus simple et beaucoup plus fiable que de dépendre du respect de la conformité par les utilisateurs.

2. Mettre en place des contrôles de gouvernance solides

Comme il est essentiel de classer le contenu de manière proactive et précise, il est aussi important de superviser son cycle de vie.

Toutes les informations doivent être gérées, même les plus anciennes car elles sont plus susceptibles de faire l’objet d’une fuite. La conservation d’informations personnelles identifiables (PII) et d’autres données sensibles au-delà de la période de conservation nécessaire met l’organisation en non-conformité. Les entreprises doivent veiller à que les politiques d’archivage écrites soient automatisées et, si possible, reliées aux informations sur les transactions commerciales qui peuvent ainsi déclencher une élimination précise, en temps voulu.

3. Étendre les contrôles de gouvernance avec une gestion active des droits

Les autorisations et les marquages de sécurité doivent être rattachés à un système de gestion des identités et des droits numériques explicitement piloté par la politique de gouvernance et le système de gestion de l’organisation. Les services de gestion des données et du contenu doivent également conserver et adopter pleinement les contrôles de sécurité au sein des systèmes avec lesquels ils s’intègrent, tels que Microsoft® 365. En outre, il peut être important de contrôler l’accès en fonction de la connaissance de la situation : il peut être nécessaire d’empêcher l’accès à certaines informations critiques, sauf lorsque l’utilisateur est au bureau. Ainsi, par exemple, un utilisateur qui se trouve dans un lieu public pourrait se voir interdire l’accès à des dossiers de ressources humaines ou à des informations exclusives. En revanche, cet accès lui serait accordé lorsqu’il se trouve au sein de son entreprise.

4. Évaluer les risques en permanence grâce à des outils d’analyse de contenu intelligents

La conformité du contenu doit être contrôlée en permanence et la politique de gestion de ce contenu doit être évaluée pour détecter les lacunes dans la couverture. Le volume d’informations à examiner nécessite probablement des outils automatisés pour faciliter l’évaluation continue et définir les priorités en matière de contenu et d’examen des politiques. L’IA, le traitement du langage naturel, l’analyse d’images et des analyses de contenu plus intégrées peuvent aider à identifier et à mesurer les niveaux de risque et les domaines à approfondir.

5. Mettre le contenu non géré en conformité et ce dans le cadre d’un plan de sécurité proactif

Les partages de fichiers et les référentiels hérités du réseau qui contiennent des téraoctets de contenu non gérés représentent un risque important pour toute organisation. Les organisations doivent veiller à lancer un programme visant à placer tous les contenus non gérés sous le contrôle de la gouvernance.

De solides outils d’auto-classification, de mappage, et de découverte des données non structurées peuvent aider à supprimer le contenu redondant, obsolète et trivial (ROT) et à ne conserver que les documents professionnels nécessaires. Ce contrôle proactif contribue également à la protection contre les ransomwares.