Pour répondre à ces enjeux, une approche proactive et automatisée de la protection et de la gouvernance de l’information fondée sur le Zero Trust doit être adoptée.
5 étapes proactives à suivre pour garantir une posture Zero Trust
1. Organiser les contrôles et la gestion du contenu autour de classifications professionnelles significatives
La normalisation des pratiques commerciales et l'organisation du contenu et des données, par entités telles que les clients, les projets ou les événements, peuvent aider une organisation à assurer la prévisibilité des risques et à améliorer la participation et la conformité des utilisateurs.
Lorsque l'entreprise dispose d'un processus établi et reproductible qui exige un traitement sécurisé du contenu, le système est en mesure d'appliquer naturellement les contrôles de protection de l'information appropriés. L'automatisation de la classification du contenu et du contrôle d'accès dans le cadre de ces processus d'entreprise est beaucoup plus simple et beaucoup plus fiable que de dépendre du respect de la conformité par les utilisateurs.
2. Mettre en place des contrôles de gouvernance solides
Comme il est essentiel de classer le contenu de manière proactive et précise, il est aussi important de superviser son cycle de vie.
Toutes les informations doivent être gérées, même les plus anciennes car elles sont plus susceptibles de faire l'objet d'une fuite. La conservation d'informations personnelles identifiables (PII) et d'autres données sensibles au-delà de la période de conservation nécessaire met l'organisation en non-conformité. Les entreprises doivent veiller à que les politiques d'archivage écrites soient automatisées et, si possible, reliées aux informations sur les transactions commerciales qui peuvent ainsi déclencher une élimination précise, en temps voulu.
3. Étendre les contrôles de gouvernance avec une gestion active des droits
Les autorisations et les marquages de sécurité doivent être rattachés à un système de gestion des identités et des droits numériques explicitement piloté par la politique de gouvernance et le système de gestion de l'organisation. Les services de gestion des données et du contenu doivent également conserver et adopter pleinement les contrôles de sécurité au sein des systèmes avec lesquels ils s'intègrent, tels que Microsoft® 365. En outre, il peut être important de contrôler l'accès en fonction de la connaissance de la situation : il peut être nécessaire d'empêcher l'accès à certaines informations critiques, sauf lorsque l'utilisateur est au bureau. Ainsi, par exemple, un utilisateur qui se trouve dans un lieu public pourrait se voir interdire l'accès à des dossiers de ressources humaines ou à des informations exclusives. En revanche, cet accès lui serait accordé lorsqu'il se trouve au sein de son entreprise.
4. Évaluer les risques en permanence grâce à des outils d'analyse de contenu intelligents
La conformité du contenu doit être contrôlée en permanence et la politique de gestion de ce contenu doit être évaluée pour détecter les lacunes dans la couverture. Le volume d'informations à examiner nécessite probablement des outils automatisés pour faciliter l'évaluation continue et définir les priorités en matière de contenu et d'examen des politiques. L'IA, le traitement du langage naturel, l'analyse d'images et des analyses de contenu plus intégrées peuvent aider à identifier et à mesurer les niveaux de risque et les domaines à approfondir.
5. Mettre le contenu non géré en conformité et ce dans le cadre d'un plan de sécurité proactif
Les partages de fichiers et les référentiels hérités du réseau qui contiennent des téraoctets de contenu non gérés représentent un risque important pour toute organisation. Les organisations doivent veiller à lancer un programme visant à placer tous les contenus non gérés sous le contrôle de la gouvernance.
De solides outils d'auto-classification, de mappage, et de découverte des données non structurées peuvent aider à supprimer le contenu redondant, obsolète et trivial (ROT) et à ne conserver que les documents professionnels nécessaires. Ce contrôle proactif contribue également à la protection contre les ransomwares.
5 étapes proactives à suivre pour garantir une posture Zero Trust
1. Organiser les contrôles et la gestion du contenu autour de classifications professionnelles significatives
La normalisation des pratiques commerciales et l'organisation du contenu et des données, par entités telles que les clients, les projets ou les événements, peuvent aider une organisation à assurer la prévisibilité des risques et à améliorer la participation et la conformité des utilisateurs.
Lorsque l'entreprise dispose d'un processus établi et reproductible qui exige un traitement sécurisé du contenu, le système est en mesure d'appliquer naturellement les contrôles de protection de l'information appropriés. L'automatisation de la classification du contenu et du contrôle d'accès dans le cadre de ces processus d'entreprise est beaucoup plus simple et beaucoup plus fiable que de dépendre du respect de la conformité par les utilisateurs.
2. Mettre en place des contrôles de gouvernance solides
Comme il est essentiel de classer le contenu de manière proactive et précise, il est aussi important de superviser son cycle de vie.
Toutes les informations doivent être gérées, même les plus anciennes car elles sont plus susceptibles de faire l'objet d'une fuite. La conservation d'informations personnelles identifiables (PII) et d'autres données sensibles au-delà de la période de conservation nécessaire met l'organisation en non-conformité. Les entreprises doivent veiller à que les politiques d'archivage écrites soient automatisées et, si possible, reliées aux informations sur les transactions commerciales qui peuvent ainsi déclencher une élimination précise, en temps voulu.
3. Étendre les contrôles de gouvernance avec une gestion active des droits
Les autorisations et les marquages de sécurité doivent être rattachés à un système de gestion des identités et des droits numériques explicitement piloté par la politique de gouvernance et le système de gestion de l'organisation. Les services de gestion des données et du contenu doivent également conserver et adopter pleinement les contrôles de sécurité au sein des systèmes avec lesquels ils s'intègrent, tels que Microsoft® 365. En outre, il peut être important de contrôler l'accès en fonction de la connaissance de la situation : il peut être nécessaire d'empêcher l'accès à certaines informations critiques, sauf lorsque l'utilisateur est au bureau. Ainsi, par exemple, un utilisateur qui se trouve dans un lieu public pourrait se voir interdire l'accès à des dossiers de ressources humaines ou à des informations exclusives. En revanche, cet accès lui serait accordé lorsqu'il se trouve au sein de son entreprise.
4. Évaluer les risques en permanence grâce à des outils d'analyse de contenu intelligents
La conformité du contenu doit être contrôlée en permanence et la politique de gestion de ce contenu doit être évaluée pour détecter les lacunes dans la couverture. Le volume d'informations à examiner nécessite probablement des outils automatisés pour faciliter l'évaluation continue et définir les priorités en matière de contenu et d'examen des politiques. L'IA, le traitement du langage naturel, l'analyse d'images et des analyses de contenu plus intégrées peuvent aider à identifier et à mesurer les niveaux de risque et les domaines à approfondir.
5. Mettre le contenu non géré en conformité et ce dans le cadre d'un plan de sécurité proactif
Les partages de fichiers et les référentiels hérités du réseau qui contiennent des téraoctets de contenu non gérés représentent un risque important pour toute organisation. Les organisations doivent veiller à lancer un programme visant à placer tous les contenus non gérés sous le contrôle de la gouvernance.
De solides outils d'auto-classification, de mappage, et de découverte des données non structurées peuvent aider à supprimer le contenu redondant, obsolète et trivial (ROT) et à ne conserver que les documents professionnels nécessaires. Ce contrôle proactif contribue également à la protection contre les ransomwares.
Autres articles
-
Comment protéger la confidentialité des données dans un contexte d’évolutions permanentes
-
OpenText Aviator réinvente le travail grâce à l'IA
-
Gagner en efficacité et réduire les coûts grâce à l’analyse des données nouvelle génération
-
Les bonnes pratiques pour la sauvegarde des données dans le cloud
-
Le RGPD a 5 ans ce 25 mai
