Juliette Rizkallah, Chief Marketing Officer, SailPoint
Pour replacer le problème dans son contexte : les systèmes structurés comme un ERP ou une application financière sont généralement supervisées par « un propriétaire de données » ayant pour objectif de contrôler les personnes ayant accès à ces données, ainsi que les données qui y sont conservées. Mais dans la plupart des entreprises, aucun propriétaire n’est identifié et bien souvent les données extraites de ces applications sont copiées par toutes sortes d’utilisateurs sur des fichiers Excel ou PowerPoint partagés par e-mail à plusieurs destinataires. Par conséquent, assurer la sécurité de données non structurées, parfois extrêmement sensibles, est un défi particulièrement complexe.
Avec une gouvernance des accès aux données bien pensée la tâche devient plus aisée. Elle doit s’inscrire dans le cadre d’une stratégie globale de gestion des identités et faire partie intégrante du dispositif de sécurité de l’entreprise.
L’importance de designer des propriétaires de données
Principale problématique : identifier le propriétaire des données. En règle générale, les individus qui détiennent les données sont ceux qui les créent ou les utilisent. Cela signifie qu'il n'y a aucun propriétaire unique pour superviser les données non structurées et assurer leur sécurité. Pour que la gouvernance des accès aux données fonctionne, un propriétaire, capable de superviser les données, savoir où elles résident et la manière dont elles sont distribuées, doit être désigné.
Prenons un exemple : le département des RH fait appel à un stagiaire pour mettre à jour les informations des employés dans une base de données. Pour déterminer le propriétaire des données, les utilisateurs, le plus souvent ceux qui manipulent les données, peuvent désigner dans un effort collaboratif qui va endosser ce rôle. Dans une optique « d’utilisation », le stagiaire devrait être le propriétaire de ces données puisque c'est lui qui y accède et les utilise le plus.
Mais le choix du propriétaire doit s’inscrire dans une logique de processus. De ce point de vue, la propriété des données reviendrait de préférence au responsable hiérarchique du stagiaire ou même au directeur du département.
Commencer par des méthodes automatisées pour trouver, catégoriser et contrôler l'accès aux données peut être un bon point de départ pour atténuer les risques de violation des données. Mais en définitive, la capacité à identifier le propriétaire de données approprié pour les données non structurées en demandant conseils auprès des utilisateurs est la seule façon de véritablement protéger ces données.
En s’appuyant sur une solution de gouvernance des accès aux données, les entreprises gagnent en autonomie sur leurs propres données et disposent d'un moyen de toutes les gérer, ce qui leur permet de répondre à la question de qui a accès à quoi, quel que soit l'endroit où se trouvent les données. Même si sécurité est un des principaux critères pour la mise en œuvre d'une gouvernance des accès aux données, celle-ci permet également d'améliorer la productivité sur le lieu de travail et de disposer de meilleurs processus pour assurer à conformité de l’entreprise. Lorsque le département informatique détient toutes les informations sur les utilisateurs d'une entreprise et leurs accès, aux applications comme aux données, il a le pouvoir de prendre rapidement les décisions appropriées en cas de violation de données.
[1] Source : https://www.sailpoint.com/weak-security-practices-leave-organizations-exposed/
[2] Définition : Une donnée non structurée est une désignation générique qui décrit toute donnée représentée ou stockée sans format prédéfini. Les données non structurées textuelles sont générées par courriels, les présentations .ppt, les documents word, ou encore les logiciels de collaboration ou messagerie instantanée.
[3] Source : http://www.lefigaro.fr/secteur/high-tech/2016/12/15/32001-20161215ARTFIG00001-un-milliard-de-comptes-yahoo-touches-par-une-autre-attaque-informatique.php
[4]Source : http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-823850-mots-utilises-2016.html
Avec une gouvernance des accès aux données bien pensée la tâche devient plus aisée. Elle doit s’inscrire dans le cadre d’une stratégie globale de gestion des identités et faire partie intégrante du dispositif de sécurité de l’entreprise.
L’importance de designer des propriétaires de données
Principale problématique : identifier le propriétaire des données. En règle générale, les individus qui détiennent les données sont ceux qui les créent ou les utilisent. Cela signifie qu'il n'y a aucun propriétaire unique pour superviser les données non structurées et assurer leur sécurité. Pour que la gouvernance des accès aux données fonctionne, un propriétaire, capable de superviser les données, savoir où elles résident et la manière dont elles sont distribuées, doit être désigné.
Prenons un exemple : le département des RH fait appel à un stagiaire pour mettre à jour les informations des employés dans une base de données. Pour déterminer le propriétaire des données, les utilisateurs, le plus souvent ceux qui manipulent les données, peuvent désigner dans un effort collaboratif qui va endosser ce rôle. Dans une optique « d’utilisation », le stagiaire devrait être le propriétaire de ces données puisque c'est lui qui y accède et les utilise le plus.
Mais le choix du propriétaire doit s’inscrire dans une logique de processus. De ce point de vue, la propriété des données reviendrait de préférence au responsable hiérarchique du stagiaire ou même au directeur du département.
Commencer par des méthodes automatisées pour trouver, catégoriser et contrôler l'accès aux données peut être un bon point de départ pour atténuer les risques de violation des données. Mais en définitive, la capacité à identifier le propriétaire de données approprié pour les données non structurées en demandant conseils auprès des utilisateurs est la seule façon de véritablement protéger ces données.
En s’appuyant sur une solution de gouvernance des accès aux données, les entreprises gagnent en autonomie sur leurs propres données et disposent d'un moyen de toutes les gérer, ce qui leur permet de répondre à la question de qui a accès à quoi, quel que soit l'endroit où se trouvent les données. Même si sécurité est un des principaux critères pour la mise en œuvre d'une gouvernance des accès aux données, celle-ci permet également d'améliorer la productivité sur le lieu de travail et de disposer de meilleurs processus pour assurer à conformité de l’entreprise. Lorsque le département informatique détient toutes les informations sur les utilisateurs d'une entreprise et leurs accès, aux applications comme aux données, il a le pouvoir de prendre rapidement les décisions appropriées en cas de violation de données.
[1] Source : https://www.sailpoint.com/weak-security-practices-leave-organizations-exposed/
[2] Définition : Une donnée non structurée est une désignation générique qui décrit toute donnée représentée ou stockée sans format prédéfini. Les données non structurées textuelles sont générées par courriels, les présentations .ppt, les documents word, ou encore les logiciels de collaboration ou messagerie instantanée.
[3] Source : http://www.lefigaro.fr/secteur/high-tech/2016/12/15/32001-20161215ARTFIG00001-un-milliard-de-comptes-yahoo-touches-par-une-autre-attaque-informatique.php
[4]Source : http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-823850-mots-utilises-2016.html