Protection Contre Les Violations De Données

Les entreprises d’aujourd’hui fonctionnent grâce aux données. Ils les récupèrent auprès des clients à chaque interaction et les utilisent pour améliorer leur efficacité, augmenter leur agilité et fournir des niveaux de service plus élevés. Mais il devient douloureusement évident que toutes ces données collectées par les entreprises en ont également fait une cible attrayante pour les cybercriminels.

Chaque jour qui passe, la preuve de cela grandit. Au cours des derniers mois, nous avons été témoins de violations massives de données ciblant Neiman Marcus, Facebook, et l’application de négociation d’actions Robinhood. Et ils ne sont guère seuls. Ces dernières années, le nombre de violations de données dans le monde a atteint en moyenne près de trois par jour.

Cette statistique suggère que l’entreprise moyenne a une cible sur le dos et manque de temps pour monter une défense de ses données. Et cela ne doit pas être difficile. Pour vous aider, voici un cadre simple en 5 étapes que les entreprises de toutes tailles peuvent utiliser pour protéger les données de leurs clients.

Table des matières hide
1 Première étape : examiner et adapter les normes de collecte de données
2 Deuxième étape : minimiser l’accès aux données
3 Troisième étape : éliminez les mots de passe dans la mesure du possible
4 Quatrième étape : chiffrer les données au repos et en mouvement
5 Cinquième étape : élaborer un plan de réponse aux violations de données
6 La ligne de fond

Première étape : examiner et adapter les normes de collecte de données

La première étape que les entreprises doivent franchir pour accroître la sécurité de leurs données clients consiste à examiner quels types de données elles collectent et pourquoi. La plupart des entreprises qui entreprennent cet exercice finissent par être surprises par ce qu’elles trouvent. En effet, au fil du temps, le volume et la variété des informations client collectées s’étendent bien au-delà de l’intention initiale d’une entreprise.

Par exemple, il est assez courant de collecter des éléments tels que le nom et l’adresse e-mail d’un client. Et si c’est tout ce qu’une entreprise a dans son dossier, elle ne sera pas une cible attrayante pour un attaquant. Mais si l’entreprise a un centre d’appels en nuage ou tout type de cycle de vente ou d’assistance client à haut niveau de contact, il collecte probablement des adresses personnelles, des données financières et des informations démographiques, ils ont ensuite rassemblé une collection parfaite pour permettre le vol d’identité si les données se répandaient dans la nature.

Publicité

Ainsi, lors de l’évaluation de chaque point de données collecté pour déterminer sa valeur, les entreprises doivent se demander : quelle fonction commerciale critique ces données facilitent-elles. Si la réponse est aucune, ils doivent purger les données et cesser de les collecter. S’il y a une réponse valable, mais d’une fonction qui n’est pas critique, l’entreprise doit peser les avantages que les données créent par rapport au préjudice potentiel qu’elles subiraient si elles étaient exposées lors d’une violation.

Deuxième étape : minimiser l’accès aux données

Après avoir réduit la quantité de données à protéger, l’étape suivante consiste à réduire la surface d’attaque des données en minimisant les personnes qui y ont accès. Les contrôles d’accès jouent un rôle démesuré dans la protection des données, car le vol des informations d’identification des utilisateurs est le principal moyen par lequel les acteurs malveillants s’introduisent dans les systèmes protégés. Pour cette raison, les entreprises doivent appliquer les principe du moindre privilège (PoLP) à leurs référentiels de données ainsi qu’aux systèmes qui s’y connectent.

Et minimiser l’accès aux données a un autre effet secondaire bénéfique : cela aide à empêcher les menaces internes de provoquer une violation de données. Le cabinet d’études Forrester a prédit que les menaces internes conduire à 31% des violations cette année – un nombre qui ne fera que croître à partir de là. Ainsi, en gardant les données clients sensibles hors de portée de la plupart des employés, les entreprises font face aux menaces internes et externes en même temps.

Troisième étape : éliminez les mots de passe dans la mesure du possible

Même après avoir réduit le nombre de personnes ayant accès aux données des clients, il existe encore un autre moyen pour les entreprises de rendre plus difficile l’accès des pirates informatiques. Et c’est pour éliminer les mots de passe comme méthode d’authentification principale dans la mesure du possible. C’est un petit changement qui peut faire toute la différence.

Selon le rapport d’enquête sur les violations de données Verizon 2021, 61% de toutes les violations de données l’année dernière impliquait l’utilisation d’identifiants, volés ou non. Il s’ensuit donc logiquement que moins il y a de raisons de s’inquiéter, mieux c’est. Et il existe plusieurs façons de réduire la dépendance aux systèmes d’authentification par mot de passe conventionnels.

L’un est l’utilisation de l’authentification à deux facteurs. Cela signifie que les comptes nécessitent à la fois un mot de passe et un jeton de sécurité à durée limitée, généralement fournis via une application ou un SMS. Mais une approche encore meilleure est l’utilisation de clés de sécurité matérielles. Ce sont des appareils physiques qui s’appuient sur des informations d’identification cryptographiques incassables pour contrôler l’accès aux données. Avec leur utilisation, les menaces de phishing et autres attaques d’ingénierie sociale sont considérablement réduites. Il s’agit de la meilleure méthode d’authentification sécurisée actuelle, du moins jusqu’à ce que des solutions comme Hushmesh se généralisent.

Quatrième étape : chiffrer les données au repos et en mouvement

S’il est vrai que les informations d’identification compromises sont de loin la plus grande menace pour provoquer une violation de données, elles ne sont pas la seule menace. Il est toujours possible pour un attaquant d’exploiter une faille logicielle ou une autre faille de sécurité pour contourner les méthodes normales de contrôle d’accès et accéder aux données des clients. Pire encore, de telles attaques sont à la fois difficiles à détecter et encore plus difficiles à arrêter une fois en cours.

C’est pourquoi la quatrième étape de tout plan de protection des données compétent consiste à garantir que toutes les données des clients restent cryptées à tout moment. Cela signifie utiliser un logiciel qui utilise un cryptage fort lorsque les données le traversent, du matériel et des composants réseau qui utilisent le cryptage et un système de stockage de données qui permet le cryptage des données au repos. Cela minimise l’accès aux données qu’un attaquant pourrait obtenir sans informations d’identification et peut aider à limiter les dommages en cas de violation.

Cinquième étape : élaborer un plan de réponse aux violations de données

Peu importe comment vous le regardez, il n’y a pas de cybersécurité parfaite. Les attaquants sont toujours au travail à la recherche de faiblesses à exploiter. Les entreprises qui se préparent bien en élimineront ou en minimiseront beaucoup. Mais cela ne signifie pas qu’une violation de données deviendra impossible.

C’est pourquoi la dernière étape du cadre de protection des données client consiste à développer un plan de réponse aux violations de données. Cela devrait donner à l’entreprise une feuille de route pour l’aider à réagir si un attaquant accède aux données des clients. Le plan ne doit épargner aucun détail – tout en expliquant comment les équipes informatiques internes doivent réagir, qui sont les consultants en sécurité tiers et comment les clients doivent être informés de la violation.

Et cette dernière partie est probablement la plus importante. À la suite d’une violation de données, la façon dont une entreprise s’y prend pour protéger ses clients peut déterminer dans quelle mesure elle rebondira, le cas échéant. Par exemple, il peut être judicieux de s’associer à une entreprise de sécurité grand public comme Aura fournir aux clients concernés une protection contre la fraude financière et une protection de l’identité à la suite d’une violation. Cela réduira le risque d’événements ultérieurs susceptibles de nuire davantage à la réputation de l’entreprise.

La ligne de fond

Le simple fait est que les entreprises qui n’ont pas encore subi de violation de données fonctionnent sur du temps emprunté. Et les chances sont contre eux. Mais l’application du cadre détaillé ici contribuera grandement à faire revenir les chances en leur faveur. Cela minimisera le risque de violation de données, limitera les dommages éventuels et aidera l’entreprise à faire face aux conséquences. Dans le monde imparfait qu’est le monde de la cybersécurité, il n’y a pas grand-chose de plus qu’une entreprise puisse demander.


Rate this post
Publicité
Article précédentCe disque 1 To WD Black SN850 PCIe Gen4 ne coûte que 140 £ avec un dissipateur thermique gratuit • Fr.techtribune
Article suivantL’iPhone 14 Pro pourrait abandonner le port Lightning pour USB-C
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici