La protection des données : une impérieuse nécessité à l’échelle mondiale

La protection des données :  une impérieuse nécessité à l’échelle mondiale

Les organisations qui veulent survivre et se développer au XXIe siècle doivent exploiter tous les atouts à leur disposition : talents, stratégies et bien sûr technologies au meilleur niveau. Ces technologies contribuent en effet à accélérer les transactions commerciales, à en renforcer la transparence et l’efficacité. Le Big Data, le cloud computing, les objets connectés, la robotique, les bots et autres formes d’intelligence artificielle sont autant de solutions que votre organisation envisage ou étudie probablement, si elle ne les a pas déjà adoptées.

Or, ces technologies floutent ou abolissent le périmètre traditionnel des entreprises, créant des brèches propices aux cyberattaques. Nous vivons dans un monde où coexistent logiciels malveillants, ransomwares, spear phishing, menaces internes, attaques informatiques visant des infrastructures nationales, APT, injections SQL et ingénierie sociale. Si aucune solution miracle ne peut nous préserver de cette réalité, les CXO (Chief eXperience Officer), qui se demandent « À qui profite le crime ? » et privilégient une protection des données de bout en bout, peuvent favoriser l’adoption de ces nouvelles technologies et de nouvelles approches commerciales, tout en assurant la promotion de la sécurisation des opérations existantes.

 

Pas de protection des données sans un plan de protection des données

Tout d’abord, il est absolument vital que les CXO s’appuient sur un plan détaillé pour protéger les données sensibles, quel que soit leur lieu de stockage et quelle qu’en soit l’utilisation. La plupart des organisations commencent à réfléchir à ce problème en termes de mise en conformité et de réglementation. Or, les normes réglementaires et les impératifs de mise en conformité constituent des exigences minimum, que les CXO devraient prendre uniquement comme points de départ. Face à l’évolution vertigineuse des menaces, même les systèmes les plus éprouvés ne peuvent garantir la sécurité totale des données.

Si les CXO veulent réellement mettre en œuvre un plan de protection des données de bout en bout, ils doivent aller au-delà de ces exigences de mise en conformité et considérer la nécessité de sécuriser les données en tous points, à leur création, pendant leur transmission ou leur utilisation. Parmi les aspects essentiels à prendre en compte citons :

  • la sécurisation des identités – informations personnelles, ou pour des applications ou appareils

  • la sécurisation des communications – pour veiller à ce que les données ne soient pas exposées ou altérées pendant leur transmission

  • le stockage sécurisé des informations – pour en contrôler strictement l’accès

  • l’utilisation sécurisée des données, réservée aux utilisateurs ou applications autorisés.


Ces services de sécurité reposent sur un ensemble de technologies de soutien : chiffrement, gestion de clés, contrôle des accès et signatures électroniques. Si vous n’avez jamais eu recours à ces services, vous y mettre peut s’avérer intimidant. Voici quelques pistes pour bien commencer :

  • Respecter les exigences minimum de mise en conformité

  • Déterminer quelles sont les données les plus sensibles dans votre entreprise, et où elles sont envoyées, utilisées et stockées

  • Sécuriser les données stockées et utilisées sur les systèmes « back-end », principales cibles des voleurs de données

  • Tenir compte des menaces qui pèsent sur les applications en renforçant les systèmes de sécurité au fur et à mesure de l’évolution de ces applications, en réexaminant la posture de votre organisation en matière de sécurité à chaque mise à jour des applications (ajout de fonctionnalités)

  • Pour tout nouveau projet, définir dès sa conception les mesures de sécurité adaptées. Il est tentant de chercher en priorité à raccourcir les délais de commercialisation, mais il est moins coûteux et plus facile de sécuriser les données en amont.

 

À noter : votre plan de bout en bout doit s’articuler en plusieurs étapes. Toute importante qu’elle soit, la sécurité sera mieux assurée si l’on procède avec méthode. Une stratégie centrée sur les données, à la fois réfléchie et analytique, vous mènera loin. Couvrir tous les aspects relatifs à la protection de données figurait d’ailleurs parmi les principales motivations de Thales pour l’acquisition de Vormetric.

Les défis que nous devons relever sont immenses, mais il y a aussi largement de quoi nous réjouir, car nous vivons une époque de changement et de croissance technologique sans précédent. Ce qui nous amène à nos deux sujets suivants : le cloud computing et les paiements électroniques.

 

Protéger vos données dans le cloud

On observe un engouement inédit des organisations pour le cloud. Gartner estime que les recettes des deux premiers fournisseurs de cloud (AWS et Azure) dépassent les 14 milliards de dollars. Selon ses estimations, d’ici 2018, 50 % des applications du cloud public seront critiques.

L’une des grandes préoccupations du passage au Cloud porte sur la sécurité des données de votre organisation. En effet, en faisant ce choix, vous ne maîtrisez plus entièrement vos applications et vos données, ce qui constitue une configuration critique – puisqu’on ne peut sécuriser totalement des données et des applications dont on ne contrôle pas pleinement l’accès et la sécurité. L’une des meilleures façons de limiter ce risque consiste à protéger les données stockées dans le cloud par des clés de chiffrement et un contrôle des accès. Cela soulève une autre question : qui contrôle les clés de chiffrement et les politiques d’accès ? En pratique, ce devrait être le propriétaire des données. En contrôlant les clés, les organisations peuvent contrôler l’accès à leurs données cryptées – jusqu’à en interdire l’accès au prestataire de services cloud. Aujourd’hui, les principaux fournisseurs de cloud reconnaissent la nécessité pour les organisations, dans beaucoup de situations, de contrôler leurs clés. C’est pourquoi ils proposent désormais des solutions BYOK (Bring Your Own Key).

Thales occupe une position clairement prépondérante dans ce domaine, offrant un soutien explicite qui permet un contrôle local des données dans le cloud par BYOK, mais aussi un chiffrement et un contrôle d’accès classiques via IaaS (Infrastructure as a Service), SaaS (Software as a Service) et PaaS (Platform as a Service).

Concernant les modèles IaaS et PaaS, citons par exemple les services de gestion de clés AWS d’Amazon et la plateforme similaire Microsoft Azure, qui utilisent les offres Thales e-Security et une solution entièrement contrôlée par l’entreprise fondée sur la gamme de produits Vormetric. Mais s’agissant des BYOK, le modèle le plus fascinant est le système SaaS, avec lequel les entreprises n’avaient auparavant aucun contrôle sur leurs données. Salesforce place la barre très haut : les clients ont en effet la possibilité de garder le contrôle sur les clés qui chiffrent leurs données au sein de l'application en conservant ces clés dans leurs environnements locaux et en supprimant tout accès par Salesforce. Une fois encore, la gamme de solutions Vormetric intégrée à l’offre Thales e-Security est déjà prête à appuyer, par une gestion des clés KMaas (Key Management as a service), les entreprises qui souhaitent se mettre en conformité et adopter de bonnes pratiques afin de gérer les clés de chiffrement sans exposer leurs données Salesforce à un accès extérieur.

D’autres fournisseurs d’applications SaaS devraient prochainement suivre cette voie, en redonnant à leurs clients le contrôle des données de leur entreprise grâce à des solutions BYOK.

 

Paiements mobiles : trouver l’équilibre entre commodité et sécurité

Les paiements mobiles sont très prisés. Rapides, faciles, pratiques, ils sont bien plus commodes que la solution classique consistant à insérer une carte au point de vente, à saisir son code et à attendre que la transaction soit autorisée. Mais si la simplicité d’utilisation est sans doute reine pour le client, elle ne rime pas toujours avec sécurité.

Le téléphone mobile est un appareil auquel, par essence, les consommateurs ne font pas confiance. Pour qu’il joue un rôle dans l’écosystème de paiement, il faut mettre en place une infrastructure de sécurité complète en soutien à l’évolution de l’environnement mobile.

On distingue trois grands domaines sur lesquels fonder cette infrastructure de sécurité : la sécurité des identités, la sécurité des données pendant leur transmission et la sécurité du stockage et du traitement de données (cela vous rappelle quelque chose ?). Bonne nouvelle, il existe des modèles fiables et éprouvés pour réduire au minimum le risque de transactions frauduleuses en protégeant toutes les clés et informations de paiement critiques – notamment les contrôles d’accès, le chiffrement, les signatures électroniques et la surveillance des accès aux données. Toutes ces technologies limitent l’exposition aux menaces et aident à suivre les comportements des utilisateurs de manière à identifier toute atteinte à la sécurité de ces informations.

Que faut-il retenir ici ? Que pour réussir une transformation digitale par les paiements mobiles, il convient d’aborder les questions d’architecture et de sécurité à tous les niveaux de la solution – le chiffrement, rendu possible par la sécurisation des identités, constitue une exigence de base à chaque niveau.

La notion de sécurité comme facilitateur de l’activité économique me mène à mon dernier point : l’acquisition de Vormetric par Thales.

 

Une plateforme unifiée : plus efficace, plus rapide, plus robuste

Notre mission, très simplement, est d’être le leader incontesté de la gestion de la confiance numérique et de la protection des données, partout où elles se trouvent. En bref, nous voulons donner aux entreprises les moyens d’agir en toute sécurité. L’objectif n’a rien d’évident, mais nous sommes prêts à relever le défi.

Selon MarketsandMarkets, le marché de la cybersécurité atteindra 170 milliards de dollars d’ici 2020. La multiplication des fuites de données, la prolifération des données dans le cloud et sur les appareils mobiles, ainsi que la demande croissante de mise en conformité et de confidentialité renforcent la nécessité de protéger les données à tous les niveaux.

Cette nouvelle approche commerciale combinée sécurisera et masquera les données dans un plus grand nombre d’environnements, suivant des méthodes plus diversifiées, de façon à assurer une gestion automatisée des clés la plus complète possible tout au long du cycle de vie des données. En s’appuyant sur des techniques ultra-sécurisées et sur des certifications reconnues, notre entreprise proposera une solution de sécurité à la pointe du marché, non disruptive et facile à déployer et à gérer, mais aussi peu coûteuse à l’échelle du cycle de vie.

Thales et Vormetric ont toujours mis leur savoir-faire au service des géants mondiaux du cloud. Avec notre plateforme unifiée de protection des données, nous visons à encore amplifier l’impact de notre stratégie et la portée de notre offre de sécurité dans le cloud, afin de sécuriser davantage de données : sur site (cloud privé), dans le cloud public (IaaS, SaaS, PaaS), au niveau des bases de données et des formats conteneurs, des données structurées et non structurées, au repos ou en mouvement.

Je suis heureux de démarrer une nouvelle aventure en dirigeant les activités de Thales e-Security avec comme objectif de nous positionner comme le leader incontesté de la protection des données et de la gestion de la confiance numérique.


PrécédentAccueilSuivantPartager