Abonnez-vous gratuitement à Decideo !


Decideo

 


Sécurité des données : Huit façons de protéger ses bases de données


Rédigé par Stéphane Mahmoudi, MarkLogic le 25 Mai 2018

La problématique de sécurité des données à laquelle sont confrontés quotidiennement les directeurs informatiques est toujours d’actualité et oblige les entreprises à s’interroger sur la manière de mieux protéger leurs données stratégiques. La question de la sécurisation des données est d’autant plus complexe quand celles-ci sont dispersées sur plusieurs bases de données.



Stéphane Mahmoudi, Directeur des Ventes Europe du Sud chez MarkLogic, met en avant huit façon de sécuriser des données pour les partager en toute sécurité.
Stéphane Mahmoudi, Directeur des Ventes Europe du Sud chez MarkLogic, met en avant huit façon de sécuriser des données pour les partager en toute sécurité.
Au delà des menaces externes qui peuvent se poser, les directeurs informatiques doivent aussi composer avec le nombre croissant de menaces internes. Les données ont pour vocation d’être partagées. Si elles sont partagées, elles sont utilisées dans plusieurs contextes, par différents utilisateurs. Si les données sont verrouillées de façon statiques, ou que pour des raisons de sécurité, elles ne peuvent plus être utilisées dans différents contextes, alors la sécurité de la donnée devient un frein à l’innovation.

1. Savoir identifier les données à sécuriser
Pour commencer, il faut accepter le principe que toutes les données n’ont pas le même niveau d’importance. Pour garantir la sécurité des données, la première étape consiste donc à identifier celles qu’il convient de sécuriser. Les entreprises doivent cataloguer et se faire une idée précise de la totalité des données en leur possession, en mode cloud ou sur site. Sachant qu’il s’agit de prendre en compte l’ensemble des données — depuis celles ayant trait à l’Internet des objets, aux flux de clics et autres données jusqu’aux informations nominatives les plus névralgiques. Ensuite, seulement, peuvent alors être mises en place des mesures de sécurité et des contrôles d’accès adaptés, conciliant au mieux les risques induits, les répercussions éventuelles et la plus-value apportée.

2. Confirmer les niveaux d’accès aux données
Pour mieux protéger ses données, il faut partir du principe que tout le monde n’a pas besoin d’accéder à toutes les données. On doit pouvoir effectivement tenir à l’écart les acteurs indésirables, mais aussi ménager un accès aux intervenants légitimes. Il faut donc pouvoir se poser des questions de fond et confirmer les niveaux d’accès. Les collaborateurs compétents ont-ils accès aux données appropriées pendant la durée voulue ? Qu’advient-il s’ils changent de poste ? Et si la nature des données et les réglementations applicables évoluent ? Ces informations sont primordiales pour allouer correctement (et, dans certains cas, révoquer) un accès. Elles sont également indispensables pour tirer une valeur ajoutée maximale des données que collecte et gère l’entreprise.

3. Une approche multimodèle favorise l’efficacité de la gouvernance des données
Il est courant d’observer que les données sont en silos, que la même donnée est dans plusieurs silos mais avec une profondeur plus ou moins importante. Concrètement, les données sont réparties et stockées sur plusieurs systèmes différents. Ceci complique sérieusement la problématique de sécurité. En optant pour une approche multimodèle de sécurisation des bases de données, les entreprises sont en mesure d’assurer une gouvernance plus efficace de leurs données, en gérant des concepts métier de haut niveau à partir de silos multiples et en les matérialisant sous forme d’entités et de relations. En fédérant données et métadonnées, un suivi efficace des particularités et relations entre données peut être opéré dans la durée.

4. Privilégier les normes.
Quand il s’agit de sécurisation des données, on ne part pas de zéro. On peut se référer à des normes solides qui font référence en matière de sécurité, et garantissent que tous les acteurs sont au diapason. La certification Common Criteria, par exemple, impose des contrôles d’accès stricts et une authentification compatible avec l’infrastructure informatique en place dans l’entreprise. Assurez-vous que vos éditeurs de logiciels se conforment également à ces normes.

5. Mettre en œuvre des techniques d’anonymisation.
L’anonymisation permet aux entreprises de partager en toute sécurité des données sous un angle adapté, avec un public légitime, la bonne durée, en supprimant, remplaçant ou masquant les informations confidentielles afin de prévenir la fuite d’informations ou la violation de lois et réglementations. Il existe différents types d’anonymisation adaptés à des situations différentes. Faites appel à un système doté d’options performantes et d’outils de personnalisation de l’anonymisation.

6. Gagner en précision et en granularité.
Il ne s’agit pas d’observer une approche du tout ou rien. Il vaut mieux préférer un système permettant de spécifier, avec précision et souplesse, les éléments visibles par fonction ou contexte. C’est un bon moyen de décupler les possibilités de partage en limitant les risques.

7. Recourir à un système externe de gestion des clés.
Le chiffrement des données au repos est, à l’heure actuelle, d’autant plus incontournable que les entreprises migrent vers le cloud. L’un des aspects les plus névralgiques d’un système de chiffrement est la manière dont il gère les clés. Mieux vaut un système externe de gestion des clés (KMS) déployé et administré indépendamment des autres systèmes. Un système KMS externe peut stocker en toute sécurité les clés qu’il remet, à la demande, aux systèmes autorisés. Cette séparation des préoccupations (SoC, separation of concerns) garantit un niveau de sécurité et de cohérence supplémentaire sur tous les systèmes opérant un cryptage.

8. Fédérer le tout grâce à des règles souples et complètes applicables aux données.
Pour se protéger des violations de données et des menaces internes, tout en facilitant et sécurisant le partage d’informations, les entreprises doivent mettre en œuvre des règles robustes, souples et très complètes applicables à leurs données, à l’échelle de leur établissement. Ces règles s’appuient généralement sur des métadonnées ayant trait aux informations stockées : origine des données, auteur des dernières modifications effectuées, modalités d’utilisation de ces données, lien avec telle ou telle réglementation, identité des collaborateurs (ou groupes) autorisés à les consulter et jusqu’à quelle date. Sans ces règles de traçabilité, Il est impossible de déployer des stratégies de données au niveau de l’entreprise. Les bases de données ne manipulent pas ces types de caractéristiques, le partage des données (et la valeur qu’elles peuvent apporter) devient difficile.

A propos de Stéphane Mahmoudi

Stéphane Mahmoudi est Directeur de Ventes, Europe du Sud chez MarkLogic.
Avec plus de 20 ans d’expérience, Stéphane Mahmoudi est un expert dans la vente de technologies d’innovation, de solutions d’affaires et de gestion des activités de vente. Avant de rejoindre MarkLogic en 2014 en tant que Global Account Manager, Stéphane Mahmoudi occupa divers postes à responsabilités chez TIBCO Software, Panoratio, Sextant, Visionael, Business Vision et Nat System.
Stéphane Mahmoudi est diplômé de l’école d’ingénieur de l’EFREI.




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Google+
Facebook
Pinterest