Vos données sont-elles vraiment sécurisées ? (par Serge Ntamack)
Plus de 554 millions de données ont été volées au cours du premier semestre 2016, soit une augmentation de 31 % par rapport aux six mois précédents – et ces chiffres sont uniquement ceux des entreprises ayant signalé leurs vols.
Malheureusement, de nombreuses organisations qui ont connu une violation de leurs données au cours de cette période ne savaient pas qu’elles avaient été ciblées ou n’ont pas révélé l’attaque aux autorités de régulation et au grand public.
Ceci laisse penser que le chiffre de 35 données archivées compromises chaque seconde est assez en-deçà de la réalité et que le dommage pourrait être beaucoup plus grand que prévu.
Sensibiliser sur la confidentialité des données
Le 28 janvier de chaque année, le monde célèbre la Journée mondiale de la Protection des Données, qui vise à sensibiliser et promouvoir les meilleures pratiques en matière de protection de la vie privée et des données. Sous le thème du respect de la vie privée, de la sauvegarde des données et de l’établissement de la confiance, les parties prenantes profitent de cette journée pour encourager les entreprises à se conformer aux lois et règlements en la matière. Ils exhortent également le public à réfléchir à la quantité de leurs renseignements personnels disponibles gratuitement et au degré d’accès qu’ils accordent à des choses telles que les plates-formes des médias sociaux et les applications de smartphone.
Mais suffit-il d’avoir ces débats une fois par an, surtout lorsque le vol d’identité représentait le type de violation le plus répandu dans la première moitié de 2016 ?
Dans un monde où le mobile et le cloud tiennent une place prépondérante, la protection des données est un problème complexe pour les entreprises, puisque les données ne résident plus uniquement dans le périmètre de leur réseau. Une augmentation du nombre d’appareils appartenant à des employés sur le lieu de travail entraîne un risque accru de fuite de données par le biais d’applications et de services comme le courrier électronique, les réseaux sociaux et le cloud public, tous hors de contrôle de l’organisation.
Outre ce défi, se trouve la tendance des utilisateurs finaux à devenir de moins en moins conscients de la sécurité, tandis que le monde devient de plus en plus hyper-connecté.
Vie privée contre confort d’utilisation
Il ne fait aucun doute que l’Internet des Objets et la collecte et l’analyse des données nécessaires facilitent notre vie et nous permettent d’être plus productifs. Cependant, cela se fait potentiellement au détriment de notre vie privée – et pourtant, cela ne semble pas nous poser de problème.
Nous acceptons aveuglément les autorisations lors de l’installation de nouvelles applications sur nos smartphones, sans les remettre en question, par exemple, une application de jeu qui nécessite l’accès à la caméra et au microphone du téléphone. Nous acceptons les termes et conditions d’utilisation des médias sociaux sans comprendre les autorisations que nous signons. Alors que nous sommes si indifférents au sujet de nos informations personnelles, aurions-nous une attitude différente concernant des informations commerciales ? Ce n’est probablement pas le cas.
Le problème est que les employés utilisent ces mêmes appareils pour partager et accéder à des informations commerciales. En fait, 87 % des cadres supérieurs admettent régulièrement télécharger des fichiers de travail via un courriel personnel ou un compte cloud et 58 % ont accidentellement envoyé des informations sensibles à la mauvaise personne. Lorsque la sécurité n’est pas la préoccupation principale de vos employés, il incombe à l’organisation de veiller à ce que les données soient protégées à la source.
Confidentialité, collaboration et expérience des employés
Une collaboration efficace au sein des entreprises signifie que vous devez être en mesure de partager des informations avec des collègues et de permettre la mobilité. Le personnel demande de plus en plus la possibilité de travailler à partir de n’importe où et sur n’importe quel appareil.
Lorsque les informations se déplacent au-delà des limites du réseau d’entreprise et à travers des périphériques et du stockage mobile en dehors du contrôle de l’entreprise, il devient encore plus crucial d’avoir des solutions qui empêchent la perte de données.
Toutefois, le simple contrôle sur les personnes qui ont accès aux informations de l‘entreprise ne garantit pas que les données resteront au sein de l’entreprise. Il est encore trop facile de copier des données sur des périphériques de stockage mobiles ou de les coller dans une application informatique officieuse. Les systèmes de prévention des pertes de données et les systèmes de gestion des droits d’information sont également imparfaits.
Au vu de toutes ces menaces et de tous ces constats, Microsoft a construit des solutions de protection de l’information autour de trois piliers de sécurité clés : la protection de l’identité, la résistance aux menaces et la protection de l’information. Ce dernier se concentre sur : la protection de l’appareil, la séparation des données (personnelles et commerciales), la protection contre les fuites, la protection des échanges.
La protection des périphériques est ainsi gérée à l’aide de BitLocker, qui protège les données lorsqu’un appareil est perdu ou volé.
Tout le reste est couvert par des solutions telles que Windows Information Protection (WIP) et Azure Information Protection (AIP), qui aide les entreprises à protéger leurs données au moment de les déplacer des serveurs vers les périphériques, et Windows Defender Advanced Threat Protection (ATP) qui aide les entreprises clientes à détecter, enquêter et à répondre à des attaques avancées et ciblées sur leurs réseaux et fournit une couche de protection après violation.
L’un des principaux objectifs de ces solutions est de pouvoir être mises en œuvre sans nuire à l’expérience des employés. Les employés auront tendance à tolérer des inconvénients jusqu’à ce qu’ils trouvent le moyen de contourner les restrictions de sécurité et d’utiliser l’informatique parallèle pour accéder à et partager l’information.
Les solutions WIP et AIP aident à protéger les applications et les données de l’entreprise contre les fuites accidentelles sur les périphériques des entreprises et les appareils personnels sans nécessiter de modifier l’environnement et d’autres applications, tandis que l’ATP permet de détecter les menaces qui sont passées entre les mailles du filet, fournit aux entreprises des informations pour enquêter sur l’infraction à travers des points de terminaison, et offre des recommandations de réponse. Ils collaborent avec Azure Rights Management pour étendre la protection des données lorsque celles -ci quittent l’appareil.
Dans notre monde hyper connecté, il est important de trouver un équilibre entre le confort que donne le fait d’être connecté en permanence et la valeur de la vie privée, et d’avoir le contrôle de nos données.
Serge Ntamack
Directeur Régional Affaires Publiques,
Microsoft Afrique