Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article aide les équipes de sécurité et de technologie à établir et moderniser une discipline De sécurité des données qui aide les organisations à protéger les données partout où elles sont créées, stockées, traitées, partagées ou utilisées, tout en activant la collaboration, l’analytique, les services cloud et l’adoption de l’IA.
Les disciplines de sécurité regroupent des travaux de sécurité connexes qui aident les organisations à fournir de manière cohérente des résultats de sécurité dans l’ensemble du patrimoine technologique. Dans le modèle d’adoption de la sécurité, les disciplines permettent d’établir un pont entre les scénarios métier et l’implémentation technique, ce qui garantit que les investissements de sécurité se traduisent en résultats mesurables réels dans le cadre du modèle d’adoption de la sécurité.
Pourquoi cette discipline
Les données sont la clé de vie des organisations modernes. Il sous-tend les opérations commerciales, la prise de décision et l’innovation, mais il s’agit également de l’une des ressources les plus précieuses ciblées par les attaquants.
Les approches traditionnelles de protection des données centrées sur le réseau ne sont plus suffisantes dans les environnements qui utilisent les services cloud, le chiffrement, les appareils mobiles et la collaboration distribuée. Une discipline de sécurité des données moderne dépasse les contrôles de périmètre pour une protection basée sur le cycle de vie et prenant en compte les identités, alignée sur la valeur métier et le risque. Sans sécurité efficace des données, les organisations sont confrontées à des risques métier importants, notamment :
- Exposition involontaire des données par les employés à l’aide du service cloud, des appareils personnels et de l’IA.
- Activité interne malveillante ciblant des informations sensibles.
- Les acteurs des menaces contournent les contrôles basés sur le périmètre dans les environnements distribués.
- Les attaques contre les ransomwares et les attaques d’extorsion perturbent les opérations.
- Des sanctions réglementaires, des dommages de réputation et, dans certaines industries, des répercussions sur la sécurité de la vie.
Une discipline de sécurité des données dédiée fournit la structure nécessaire pour réduire ces risques tout en permettant une utilisation sécurisée et productive des données au sein de l’organisation.
Mission et résultats
La mission de la discipline Data Security est de protéger la confidentialité, l’intégrité et la disponibilité des ressources de données tout au long de leur cycle de vie, ce qui permet des opérations métier sécurisées et des décisions éclairées.
Une discipline de sécurité des données mature fournit ces résultats principaux :
- Confidentialité des données : assurez-vous que seuls les utilisateurs et systèmes autorisés peuvent accéder aux données.
- Intégrité des données : empêcher toute modification ou altération non autorisée des données.
- Disponibilité des données : assurez-vous que les données sont accessibles aux utilisateurs autorisés si nécessaire.
L’échec de ces résultats peut entraîner un vol de données et un abus, perturber les opérations commerciales, activer la fraude, exposer des données réglementées ou même causer des dommages physiques aux personnes.
Lorsque vous établissez des stratégies de propriété, de classification et de protection claires, la sécurité des données devient un facteur d’activation des résultats métier plutôt qu’une contrainte.
Pour appliquer efficacement la discipline Data Security, concentrez-vous sur l’établissement d’une approche cohérente de la protection des données en fonction de son impact sur la confidentialité et l’activité :
-
Définir une stratégie de protection des données alignée sur les priorités et les risques métier
Établissez une approche claire pour identifier, classifier et protéger les données en fonction de sa valeur et des risques associés à son exposition ou à son utilisation abusive. -
Appliquer la protection de manière cohérente dans le cycle de vie des données
Assurez-vous que les données sont protégées partout où elles résident, déplacent ou sont utilisées, y compris entre les appareils, les applications et les environnements cloud. -
Établir des stratégies et des contrôles de protection des données standardisés
Fournissez des conseils clairs pour vous assurer que les données sensibles sont gérées, accessibles et partagées de manière cohérente et sécurisée au sein de l’organisation. -
Aligner la protection des données avec les ressources et scénarios critiques de l’entreprise
Hiérarchisez les contrôles qui protègent les données à valeur élevée et réglementées, en particulier dans des scénarios tels que la protection des ressources critiques et l’activation d’une collaboration sécurisée. -
Surveiller et améliorer en continu la protection des données
Utilisez des insights sur l’utilisation des données, les signaux de risque et les événements de sécurité pour affiner les protections et réduire le risque d’exposition ou de perte de données au fil du temps.
Gérer les modifications
Les approches traditionnelles de sécurité des données s’appuient souvent sur un point de contrôle unique, tel que la protection contre la perte de données basée sur le réseau (DLP). Ce modèle est inefficace dans les environnements modernes, car il :
- Fonctionne uniquement à des points limités dans le cycle de vie des données.
- Doit équilibrer parfaitement la protection et la productivité en un seul moment,
- Échoue lorsque les données sont chiffrées, partagées via des services cloud ou accessibles sur des appareils personnels.
Ce diagramme résume les défis à relever à l’aide d’une approche moderne de la sécurité des données.
Une discipline de sécurité des données moderne se concentre sur la visibilité et le contrôle continus sur l’ensemble du cycle de vie des données.
Principaux domaines d’intérêt
Les stratégies de sécurité des données modernes mettent l’accent sur les points suivants :
| Focus | Détails |
|---|---|
| Hiérarchiser les données critiques | Protégez d’abord les données les plus critiques pour l’entreprise. |
| Collaborer, couverture, visibilité | Collaborez au sein de l’entreprise pour une visibilité complète des données structurées et non structurées sur les appareils, les applications et les clouds, ce qui empêche les silos de données. |
| Découvrir des données | Sachez où existent les données et quelle valeur ou sensibilité elle a. |
| Classifier les données | Appliquez des étiquettes cohérentes afin que les contrôles de sécurité puissent être appliqués automatiquement. |
| Protection du cycle de vie | Sécurisez les données, quel que soit l’emplacement, la plateforme technique, l’appareil ou l’environnement. Appliquez cette stratégie tout au long du cycle de vie des données : créer, consommer, stocker, partager et supprimer. Sécurisez les données pendant la création et la génération, le stockage au repos, pendant l’accès/le partage/utilisation, ainsi que les données qui ne sont plus actives et archivées ou supprimées. |
| Surveillance et application | Implémentez la visibilité en temps réel et l’application automatisée pour détecter et répondre à l’accès non autorisé en temps réel ou à l’exfiltration. |
| Apprendre et améliorer | Améliorez en permanence la sécurité des données. Adapter les contrôles de stratégie et de données en tant que formats de données, plateformes et cas d’usage évoluent, y compris l’IA. |
Cette approche permet une protection qui s’adapte aux changements métier et technologiques.
Ce diagramme illustre une stratégie de sécurité des données de haut niveau qui permet à la fois la sécurité et la productivité.
Comme le montre le diagramme :
- La base Confiance nulle, illustrée par une ligne en pointillés, établit une limite d’identité moderne et une protection contre la perte de données entre les fonctions internes et l’environnement externe. Cette base empêche toute perte de données non autorisée, mais permet la collaboration avec des parties externes autorisées.
- L’environnement de collaboration d’entreprise, en vert plus clair, est l’endroit où la plupart de vos données organisationnelles sont créées, traitées et stockées. Limitez l’accès aux utilisateurs internes uniquement et appliquez le privilège minimum par défaut.
- Les applications et données critiques, en vert foncé, représentent les données les plus sensibles de l’organisation qui doivent être limitées à un ensemble limité d’utilisateurs et d’applications autorisés. Vous pouvez partager ces données dans l’environnement de collaboration d’entreprise et avec certaines parties externes autorisées, mais elles doivent toujours être protégées et surveillées.
Rôles par discipline et collaborateurs
La sécurité des données nécessite une collaboration étroite entre les équipes métier, de sécurité et de technologie. Dans les grandes organisations, les rôles sont souvent distribués et formalisés ; dans les petites organisations, les responsabilités peuvent être combinées.
Les rôles principaux de cette discipline sont généralement les suivants :
- Responsables des données / Équipes de gouvernance des données
- Architectes de données et d’IA
- Équipes d’ingénierie et d’exploitation des données et de l’IA
Les collaborateurs clés sont les suivants :
- Chefs d’entreprise et propriétaires de données : définissez la valeur des données, l’utilisation et la classification.
- Stratégies de sécurité et équipes de gouvernance : définissez des stratégies, des normes et une supervision.
- Rôles d’architecture : intégrez des contrôles de sécurité des données aux conceptions système et plateforme.
- Développeurs : implémentez la gestion sécurisée des données dans les applications.
- Disciplines adjacentes à la sécurité : aligner la sécurité des données avec les efforts de confidentialité, de risque et de conformité.
Alignement avec d’autres disciplines
La discipline Data Security fonctionne en étroite coordination avec d’autres disciplines :
- Discipline Accès et identités : les stratégies d’identité et d’accès déterminent qui peut accéder aux données.
- Discipline Architecture de sécurité : l’architecture définit des modèles de bout en bout pour protéger les données.
- Discipline Opérations de sécurité (SecOps) : détecte et répond aux incidents liés aux données.
- Discipline de la posture de sécurité – mesure et améliore la maturité de la protection des données.
La propriété claire et la responsabilité partagée sont essentielles à mesure que les responsabilités des données s’étendent.
Alignement sur les piliers technologiques
Les données se déplacent entre les systèmes, les utilisateurs et les environnements. Par conséquent, la discipline Data Security couvre tous les piliers technologiques.
Les piliers technologiques alignés sont les suivants :
- Identités : la sécurité des données s’appuie sur des contrôles de sécurité d’identité pour appliquer un accès sécurisé aux données via des contrôles d’identité et d’accès forts.
- Points de terminaison : la sécurité des données s’appuie sur des contrôles de sécurité de point de terminaison pour empêcher le vol de données contre les appareils compromis ou non gérés.
- Infrastructure : la sécurité des données s’appuie sur des contrôles de sécurité d’infrastructure pour protéger les données stockées ou traitées sur des serveurs, des conteneurs et des plateformes cloud.
- Applications : la sécurité des données s’appuie sur des contrôles de sécurité des applications pour garantir l’accès sécurisé aux applications et la gestion des données sensibles.
- Données : la sécurité des données s’appuie sur des contrôles de sécurité des données pour découvrir, classifier, protéger et surveiller les données tout au long de son cycle de vie. - Réseau : la sécurité des données s’appuie sur des contrôles de sécurité des données pour faciliter la découverte et la sécurisation des données au fur et à mesure qu’elles sont transférées entre les systèmes.
- IA : la sécurité des données s’appuie sur des contrôles de sécurité IA pour protéger les données utilisées pour entraîner, analyser et générer des sorties IA.
Étapes suivantes
Microsoft Unified propose des ateliers dirigés par des experts pour aider les organisations à accélérer la modernisation de la stratégie de gestion de la posture de sécurité, de l’architecture et de la technologie. Ces ateliers sont les suivants :
Ateliers sur l’architecture et la stratégie - L’atelier Security Adoption Framework Data Security se concentre sur la modernisation de la sécurité des données. Cet atelier est disponible sous la forme d’une discussion de moins de quatre heures axée sur les apprentissages clés et les meilleures pratiques.
Ateliers d’adoption de la technologie - Microsoft Unified a des ateliers pour aider les organisations à découvrir, planifier, implémenter et optimiser l’utilisation des technologies de données.
