Sécurité des données d’entreprise : c’est le moment d’inverser l’approche établie
Il existe une vieille citation qui dit : il ne faut pas faire bouillir l’océan. Dans la sécurité de l’information, les plus gros projets consistent à essayer de protéger les données d’entreprise. Sauf que dans la réalité, plusieurs entreprises « font bouillir l’océan » lorsqu’il s’agit de leur programme de sécurité des données.
En effet, l’ensemble de l’approche de la sécurité des données est inversée, surtout quand on parle de la gérance des risques en rapport avec les données au sein de la main d’œuvre hautement collaborative et distante d’aujourd’hui. Lorsque la majorité des organisations prennent des mesures dans le but de protéger leurs données, elles suivent ou plutôt essayent de suivre les pratiques habituelles.
Les entreprises commencent donc par tenter d’identifier l’ensemble des données sensibles au niveau de leurs organisations. Ces données englobent tout ce qui existe sur leurs réseaux de partages de fichiers internes, sur les points de terminaison, sur les supports amovibles et dans tous leurs services cloud. Ensuite, ils se basent sur l’importance des données, c’est-à-dire sur les classifications des informations. Est-ce que les données sont confidentielles ? Relèvent-elles de la propriété intellectuelle ? Sont-elles importantes ?
La prochaine étape consiste à déterminer qui peut accéder aux données de la société. Pour finir, les entreprises cherchent à contrôler ou à bloquer l’accès lorsque les données quittent l’organisation.
En effet, les entreprises se doivent de reconnaître quelques vérités de base sur les données d’entreprise, à savoir :
· Toutes les données sont précieuses, pas seulement les données que nous classons.
· Chaque utilisateur - pas seulement les utilisateurs privilégiés - a accès aux données.
· La collaboration est constante, par conséquent, le blocage ne fonctionnera pas.
En prenant en compte ce qui est cité ci-dessus, les organisations doivent inverser leur approche au regard de la sécurité des données et se concentrer d’abord sur les données entrant et sortant de l’organisation. C’est en fait un sous-ensemble bien plus restreint de la quantité globale de données dans l’entreprise, et engendre une amélioration importante par rapport au fait de devoir parcourir plus de deux milliards de fichiers de données traditionnelles. Avec une toute autre approche, les entreprises peuvent commencer carrément avec un ensemble de fichiers beaucoup plus restreint chaque jour et sauront s’il s’agit de fichiers qui nécessitent plus d’attention ou pas.
Pour conclure, quand on parle de protection des données d’entreprise, les organisations ne sont pas obligés de faire bouillir l’océan. D’ailleurs, ils doivent plutôt éviter de le faire. Il serait plus intéressant de se concentrer sur un flux de données beaucoup plus petit, soit le réel flux de circulation des données.