Construire un programme efficace de prévention des pertes de données

Les données sont le pilier de toute organisation aujourd'hui, et par conséquent, la perte de données est une préoccupation majeure pour les équipes informatiques et la direction. La perte de données peut avoir de multiples causes, allant des défaillances de disque dur aux data leaks causées par des initiés malveillants ou des pirates externes. Les conséquences de la perte de données varient également considérablement. Des processus commerciaux essentiels peuvent être facilement perturbés, et le fait qu'un document critique tombe entre les mains d'un concurrent peut être dévastateur. L'organisation peut également faire face à des amendes de conformité et à la perte de confiance des clients. Tous ces facteurs peuvent nuire aux revenus, jusqu'à mettre l'entreprise en faillite.

Pour minimiser ces risques, chaque organisation doit disposer d'un plan de data loss prevention (DLP) qui protège les données critiques.

Concevoir un programme efficace de prévention de la perte de données

Une prévention efficace de la perte de données nécessite une approche globale. Il est important de ne pas céder à la tentation de choisir un seul logiciel et de penser que vous avez fait suffisamment. Les données que vous protégez sont trop importantes et les conséquences potentielles de leur perte sont trop graves. Voici les étapes à suivre pour établir un programme de DLP réellement efficace.

Étape 1 : Obtenez l'adhésion de la direction.

Tout d'abord, obtenez l'approbation de la direction, y compris des responsables de tous les départements et divisions susceptibles d'être impactés. Leur soutien est nécessaire pour le succès du programme.

Étape 2 : Identifiez et classez vos données critiques.

Distinguer les données critiques des données non critiques est peut-être l'étape la plus importante dans la création d'un programme de prévention de la perte de données. Voici certains types de données que vous pourriez avoir besoin d'identifier :

• Propriété intellectuelle (IP)
• Documents juridiques
• Documents de planification stratégique
• Données de ventes
• Informations sur le client
• Informations personnellement identifiables (PII)
• Données de marketing et prévisions
• Documentation des opérations
• Registres financiers
• Données des ressources humaines
• Données gouvernementales
• Les mots de passe et autres données informatiques
• Données soumises à toute réglementation de conformité

Marquez chaque donnée critique avec une signature numérique qui indique ses classifications, afin que vos différentes solutions logicielles puissent la gérer de manière appropriée.

Étape 3 : Identifier les menaces et les risques.

Modélisez l'activité autour de chaque type de données critiques, y compris qui y accède et ce qu'ils en font. Identifiez toute menace pour la sécurité de chaque donnée. Quelles vulnérabilités sont présentes à chaque étape du cycle de vie des données ? Qui est responsable de l'utilisation sécurisée des données ? Ont-ils les outils nécessaires pour les protéger ?

Détaillez ce qui pourrait arriver si les données sont perdues. Assurez-vous de prendre en compte à la fois les impacts directs sur l'entreprise et les pénalités de conformité.

Étape 4 : Définissez vos objectifs.

Précisez quels objectifs vous souhaitez que le programme DLP atteigne, tels que :

• Identifier les risques et les moyens de les traiter
• Protéger les données en mouvement, en utilisation et au repos
• Maintenir les données disponibles à l'utilisation sans augmenter le risque
• Standardisation des procédures pour la sécurité, la confidentialité et la conformité

Étape 5 : Créez des procédures étape par étape.

Mettez en place des processus et des politiques pour le stockage et la manipulation des données critiques, ainsi que des plans de réponse détaillés pour les fuites de données et autres incidents de sécurité. Le tableau suivant propose certaines meilleures pratiques éprouvées pour la manipulation sécurisée des données critiques et sensibles ; assurez-vous de créer des procédures pour mettre en œuvre chacune d'entre elles.

Source : https://www.isaca.org/Journal/archives/2018/Volume-1/Pages/data-loss-prevention-next-steps.aspx

Étape 6 : Évaluez les systèmes actuels et disponibles.

Réfléchissez si votre matériel et logiciel existants peuvent répondre à vos objectifs de DLP. Gardez à l'esprit que la plupart des systèmes de protection des données ne peuvent pas classer les données de manière précise et cohérente. Si vos systèmes actuels sont insuffisants, évaluez d'autres solutions, en tenant compte de vos objectifs et de votre analyse des risques/coûts. Quelles fonctionnalités avez-vous besoin et quelle est leur valeur pour vous ?

Étape 7 : Sensibilisez tout le monde.

Sensibilisez l'organisation à l'importance du programme DLP. Incluez des informations sur :

• Qu'est-ce qui constitue des données critiques
• Comment les données critiques doivent être traitées dans certaines situations, y compris l'utilisation de l'email et d'internet
• Quelles lois l'entreprise doit-elle respecter

Adaptez la formation aux besoins des différents groupes d'employés et répétez-la régulièrement. Assurez-vous de tester périodiquement vos utilisateurs et de faire un suivi avec les individus qui ne suivent pas les procédures appropriées.

Avantages d'un programme solide de prévention de la perte de données

Plus votre programme de prévention des pertes de données est performant, plus vos données seront sécurisées. De plus, vous serez mieux préparé pour les audits de conformité, y compris ceux liés aux directives de prévention des pertes de données du National Institute of Standards and Technology (NIST) pour les entités fédérales. Les programmes DLP du NIST incluent le Cybersecurity Framework, qui comprend des recommandations qui soutiennent la conformité avec d'autres systèmes réglementaires, tels que FISMA et HIPAA.

La pierre angulaire de la DLP : la classification automatique des données

La partie la plus importante de tout programme de prévention des pertes de données est la Netwrix Data Classification. À moins de savoir quels types de données vous possédez, vous ne pouvez pas protéger ces données de manière appropriée.

Netwrix Data Classification offre la classification des données précise, cohérente et flexible dont vous avez besoin dans votre environnement informatique sur site, cloud ou hybride.