Comment les logiciels de gouvernance des données identifient et protègent les données sensibles face à la menace des hackers ?

Avec une croissance du volume des données de 50 % par an et une demande d’accès à ses données toujours plus importante, les difficultés à gérer et protéger les données augmentent plus rapidement que les ressources disponibles.

Par Norman Girard, Vice Président Europe de Varonis
Il y a certes, des avantages à « la mise en quarantaine » de certaines données sensibles – pour qu’elles soient inaccessibles depuis l’extérieur du réseau ou restreindre leur accès – mais beaucoup ne peuvent êtres archivées car elles sont indispensables. Il est donc nécessaire de mettre en place une collaboration sécurisée avec une solution capable d’optimiser et d’automatiser l’attribution des autorisations couplée à une surveillance active des accès. Ce nouveau type de technologie permet de faire face à la croissance des données non structurées et répond aux nouvelles exigences de collaboration.

Les technologies pour être efficace

Bien qu’il existe plusieurs solutions axées sur la gestion et la protection des données, très peu utilisent un cadre de métadonnées pour identifier les données sensibles plus rapidement que les méthodes de classification traditionnelle. Les logiciels de gouvernance des données exploitent dynamiquement les métadonnées et permettent ainsi de répondre précisément aux questions suivantes :

–              Qui a accès à un ensemble de données ?

–              Quelles sont les données sensibles ?

–              Où sont mes données sensibles surexposées, et comment puis-je les protéger ?

–              Qui y a accédé ?

–              Quels sont les dossiers ayant besoin d’un propriétaire ?

–              Qui est le propriétaire des données ?

–              Qui dispose d’autorisations inutiles à un ensemble de données ?

–              Quelles sont les données inutilisées ?

 

Lors du choix d’un logiciel qui optimise la technologie de classification des données, il est nécessaire de s’assurer que les fonctionnalités suivantes sont présentes dans la solution :

Visibilité

Une solution de gestion et de contrôle des données doit fournir une interface affichant clairement les autorisations telles qu’elles sont définies dans le système de fichiers (permissions).

L’interface doit facilement permettre :

•             D’identifier les utilisateurs ayant accès à un dossier sélectionné et les groupes grâce auxquels ils ont obtenu l’autorisation

•             D’afficher les dossiers accessibles par un utilisateur ou un groupe sélectionné, ainsi que les autorisations spécifiques (Microsoft NTFS, SharePoint, etc.)

•             De créer des filtres de recherche autorisant des requêtes basées sur des noms de groupes, utilisateurs, dossiers ou données

•             D’actualiser en continu les informations pour repérer les changements et les nouvelles données dans l’Active Directory (les utilisateurs et les changements de groupes) ou dans le serveur de fichiers (les nouvelles données, les données effacées ou renommées et les changements de contrôle d’accès).

Contrôle

Toute solution de gestion des données non structurées doit inclure des mécanismes pour définir, tester, mettre à jour et révoquer les changements d’autorisations. Plus précisément, le système doit permettre de :

•             Demander ou commissionner la modification d’autorisation sur le serveur de fichiers ou le service d’annuaire (l’Active Directory par exemple). Le mécanisme doit entrainer le changement de manière automatisée via un planificateur ou après l’intervention de l’administrateur

•             Simuler les modifications afin de déterminer l’impact sur l’accès. Le système doit par exemple permettre de simuler la révocation des permissions d’un groupe complet et doit identifier les utilisateurs légitimes et permettre l’atténuation des modifications pour ne pas les affecter.

Audit

Une piste de vérification doit détailler tous les aspects de l’utilisation des données (ouverture, création, suppression, déplacement, envoi et réception d’un email…). L’interface présentant l’information doit être compréhensible, doit permettre de trier facilement l’information et doit permettre la création de rapports instantanée et/ou automatisée.

 

Sécurité

Un système de gouvernance des données non structurées permet de supprimer automatiquement les permissions et doit plus précisément :

•             Identifier les utilisateurs dont l’accès à un ensemble de données doit être révoqué

•             Mettre à jour les révocations lorsque des modifications interviennent dans l’Active Directory ou sur les serveurs de fichiers

•             Tester les révocations recommandées avant de les appliquer sur les serveurs

•             Fournir des recommandations avec une précision supérieure à 99,9 %.

Performance

Une solution de gouvernance des données ne doit pas entraver la performance des serveurs, les conditions d’accès et le workflow. Pour cela, ce type de solution doit pouvoir fonctionner sans avoir recours aux fonctions d’audit natives (Windows auditing, UNIX/Linux auditing).
Adaptabilité

Parce que la plupart des entreprises ajoutent des serveurs supplémentaires au fil du temps et que les données non structurées augmentent très rapidement, le système doit offrir des possibilités de croissance. Une solution de gouvernance est évolutive pour s’adapter à l’accroissement de 50% par an du volume des données non structurées.

Facilité d’installation

Pour qu’une solution de protection des données soit efficace, elle ne doit pas perturber le fonctionnement de l’entreprise. Son l’installation doit être rapide (5 jours ouvrables), sans mobiliser le service informatique.

Facilité d’utilisation

La solution doit être facilement adoptée avec une formation simple grâce à une interface utilisateur intuitive.

Facilité d’intégration

Les solutions de protection des données doivent supporter une large gamme de serveurs et périphériques de stockage y compris les serveurs Windows, les serveurs UNIX/Linux, les sites SharePoint, les boîtes aux lettres Exchange et les équipements NAS.

Faible coût total de possession

L’utilisation d’une telle solution doit engendrer des économies de temps et de ressources. Elle rend possible l’automatisation de plusieurs tâches laborieuses comme la suppression des autorisations, la création de rapports de permissions, l’audit des données, l’examen des droits d’admissibilité, l’identification des données viciées, la recherche des propriétaires métiers des données, les opérations de migration des données.

Alors que plus de 23 millions de dossiers contenants des informations personnelles identifiables (PII) ont été divulgués en 2011 (source: privacyrights.org), les entreprises doivent plus que jamais s’assurer que leurs données sensibles sont sécurisées. Les logiciels de gouvernance des données utilisant la technologie de métadonnées ne permettent pas seulement de sécuriser les données sensibles, mais accélèrent également l’exécution des méthodes traditionnelles de protection des données.

 

A propos de Varonis

Varonis Systems a été créée début 2005 par Yaki Faitelson et Ohad Korkus, experts reconnus dans le monde du stockage et du réseau. Varonis est aujourd’hui l’un des principaux fournisseurs de solutions de gouvernance de données non structurées et semi-structurées, avec plus de 4500 installations dans le monde, dans des secteurs d’activités variés : services financiers, gouvernement, santé, énergie, média, éducation, industrie, technologie. Reposant sur une technologie brevetée et sur un moteur d’analyse hautement précis, les solutions Varonis donnent aux entreprises une visibilité totale et un contrôle sur leurs données, en leur assurant que seuls les bons utilisateurs ont accès aux données dont ils ont besoin et ce, à tout moment.

Varonis a été nommé « Cool Vendor » dans la catégorie gestion des risques et conformité par le Gartner et reconnu comme l’un des « Fast Reader Favorites 50 » sur FastCompany.com.
Le siège de Varonis est basé à New York, avec des bureaux régionaux en Europe, en Asie et en Amérique Latine et des bureaux de recherche et développement situés à Hertzliya, en Israël.

En savoir plus sur Varonis : http://www.varonis.com

TAGS ASSOCIÉS