La menace pour la cybersécurité a tellement augmenté ces dernières années que la plupart des entreprises dans le monde admettent désormais qu'une violation de données est presque inévitable. Mais qu'est-ce que cela signifie pour les délégués à la protection des données et à la conformité, ainsi que pour les cadres supérieurs, désormais personnellement responsables de la protection des données sensibles de l'entreprise, des clients et des partenaires ?

Investir dans l'infrastructure de sécurité ne suffit pas pour démontrer la conformité en matière de protection des données. Les réseaux étendus définis par logiciel (SD WAN), les pare-feu et les réseaux privés virtuels (VPN) jouent un rôle dans une posture de sécurité globale, mais ce sont des solutions d'infrastructure et ne protègent pas les données. Que se passe-t-il lorsque les données traversent l'extérieur du réseau vers le cloud ou un réseau tiers ? Comment les données commerciales côté LAN sont-elles protégées si une vulnérabilité ou une configuration incorrecte du SD WAN est exploitée ? Quelle vulnérabilité supplémentaire est créée en s'appuyant sur la même équipe de sécurité réseau pour définir à la fois des politiques et gérer l'environnement, en conflit direct avec les directives Zero Trust ?

La seule façon de s'assurer que l'entreprise est protégée et conforme est d'abstraire la protection des données de l'infrastructure sous-jacente. Simon Pamplin, CTO, Certes Networks, insiste sur le fait qu'il est désormais essentiel de changer d'orientation, de ne plus compter sur la sécurité de l'infrastructure et d'utiliser le cryptage de couche 4 pour protéger de manière proactive les données sensibles de l'entreprise, quel que soit leur emplacement.

Reconnaître l'escalade des risques

Les attitudes vis-à-vis de la sécurité des données doivent changer rapidement car le modèle actuel basé sur l'infrastructure crée trop de risques. Selon l'enquête IBM Data Breach 2022, 83 % des entreprises confirment qu'elles s'attendent à une faille de sécurité - et beaucoup acceptent que les failles se produisent plus d'une fois. Compte tenu de cette perception, la question doit être posée : pourquoi les entreprises dépendent-elles toujours d'une posture de sécurité axée sur le verrouillage de l'infrastructure ?

Clairement ça ne marche pas. Bien que toutes les entreprises ne subissent pas l'impact catastrophique de la violation de données de quatre ans qui a finalement touché 300 millions de clients des hôtels Marriott, les attaquants passent régulièrement des mois dans les entreprises à la recherche de données. En 2022, il a fallu en moyenne 277 jours, soit environ neuf mois, pour identifier et contenir une violation. Pendant tout ce temps, les acteurs malveillants ont accès aux données de l'entreprise ; ils ont le temps d'explorer et d'identifier les informations les plus précieuses. Et la possibilité de copier et/ou de supprimer ces données, selon l'objectif de l'attaque.

Les coûts sont énormes : le coût moyen d'une violation de données aux États-Unis est désormais de 9.44 millions de dollars (4.35 USD est le coût moyen dans le monde). Des amendes réglementaires - qui sont de plus en plus punitives à travers le monde - à l'impact sur la valeur des actions, la confiance des clients, voire les partenariats commerciaux, les implications à long terme d'une violation de données sont potentiellement dévastatrices.

Confiance mal placée dans l'infrastructure

Pourtant, ces entreprises concernées ont des postures de sécurité ostensiblement robustes. Ils disposent d'équipes de sécurité hautement expérimentées et d'importants investissements dans l'infrastructure. Mais ils ont adhéré au mythe perpétué depuis longtemps par l'industrie de la sécurité selon lequel le verrouillage de l'infrastructure, à l'aide de VPN, de SD WAN et de pare-feu, protégera les données d'une entreprise.

Comme l'ont confirmé brèches après brèches, s'appuyer sur la sécurité de l'infrastructure ne fournit pas le niveau de contrôle nécessaire pour protéger les données contre les acteurs malveillants. Pour la grande majorité des entreprises, les données sont rarement limitées à l'environnement réseau de l'entreprise. Il se trouve dans le cloud, sur l'ordinateur portable d'un utilisateur, sur le réseau d'un fournisseur. Ces périmètres ne peuvent pas être contrôlés, en particulier pour toute entreprise faisant partie de la chaîne d'approvisionnement et des réseaux tiers. Comment le fournisseur A protège-t-il le fournisseur tiers B lorsque l'entreprise n'a aucun contrôle sur son réseau ? En utilisant une sécurité traditionnelle dépendante de l'infrastructure, ce n'est pas possible.

De plus, bien qu'un SD WAN soit un moyen plus sûr d'envoyer des données sur Internet, il ne fournit un contrôle que du point de sortie du réseau à la destination finale. Il n'offre aucun contrôle sur ce qui se passe du côté LAN d'une organisation. Il ne peut pas interdire la transmission de données vers un autre lieu ou une autre personne. De plus, bien sûr, il est admis qu'une mauvaise configuration du SD WAN peut ajouter un risque de violation, ce qui signifie que les données sont exposées, comme le montrent les CVE publics (vulnérabilités et expositions communes) disponibles pour examen sur les sites Web de la plupart des fournisseurs de SD WAN. Et tandis que les SD WAN, les VPN et les pare-feu utilisent IPSEC comme protocole de cryptage, leur approche du cryptage est défectueuse : les clés de cryptage et la gestion sont gérées par le même groupe, en violation directe des normes acceptées de « séparation des tâches ».

Protégez les données

Il est donc essentiel d'adopter une autre approche, de se concentrer sur la protection des données. En enveloppant la sécurité autour des données, une entreprise peut protéger cet actif vital, quelle que soit l'infrastructure. En adoptant la couche 4, le chiffrement basé sur des politiques garantit que la charge utile des données est protégée tout au long de son parcours, qu'elle ait été générée au sein de l'entreprise ou par un tiers.

S'il traverse un SD WAN mal configuré, les données sont toujours sauvegardées : elles sont cryptées, ce qui les rend sans valeur pour tout pirate. Quelle que soit la durée d'une attaque, quelle que soit la durée pendant laquelle un individu ou un groupe peut camper dans l'entreprise à la recherche de données à utiliser dans une attaque de ransomware, si les données sensibles sont cryptées, il n'y a rien avec quoi travailler.

Le fait que seules les données utiles soient cryptées, tandis que les données d'en-tête restent en clair signifie une interruption minimale des services ou des applications réseau, ainsi qu'une plus grande facilité de dépannage d'un réseau crypté.

Ce changement d'état d'esprit protège non seulement les données et, par défaut, l'entreprise, mais également l'équipe de direction responsable - en fait personnellement responsable - de la conformité à la sécurité et à la protection des informations. Plutôt que de placer le fardeau de la protection des données sur les équipes de sécurité du réseau, cette approche réalise le véritable objectif de la confiance zéro : séparer la responsabilité de la définition des politiques de l'administration du système. La posture de sécurité est définie d'un point de vue commercial, plutôt que d'un point de vue de la sécurité du réseau et de l'infrastructure - et il s'agit d'un changement de mentalité essentiel et attendu depuis longtemps.

Conclusion

Ce changement d'état d'esprit devient critique, tant d'un point de vue commercial que réglementaire. Au cours des dernières années, les régulateurs du monde entier se sont davantage concentrés sur la protection des données. Des amendes punitives, y compris le maximum avec ses 20 millions d'euros (ou 25 % du chiffre d'affaires mondial, selon le montant le plus élevé) par violation du Règlement général sur la protection des données (RGPD) de l'Union européenne, au risque d'emprisonnement, à l'augmentation de la réglementation à travers la Chine et au Moyen-Orient renforce la reconnaissance mondiale claire que la perte de données a un coût important pour les entreprises.

Jusqu'à récemment, cependant, les régulateurs n'étaient pas normatifs quant à la manière dont ces données sont sécurisées - une approche qui a permis au modèle de sécurité de « verrouillage de l'infrastructure » de se poursuivre. Cette attitude est en train de changer. En Amérique du Nord, de nouvelles lois exigent le cryptage entre les centres de commande et de contrôle des services publics pour protéger l'infrastructure nationale. Cette approche est appelée à se développer à mesure que les régulateurs et les entreprises reconnaissent que la seule façon de protéger les données traversant des infrastructures de plus en plus dispersées, du SD WAN au cloud, est de les chiffrer - et de le faire d'une manière qui n'entrave pas la capacité du l'entreprise à fonctionner.

Il est désormais essentiel que les entreprises reconnaissent les limites du recours aux SD WAN, aux VPN et aux pare-feu. L'abstraction de la protection des données de l'infrastructure sous-jacente est le seul moyen de garantir la protection et la conformité de l'entreprise.

Simon Pampelin

CTO, Certes Networks

Que recherchez-vous?

Protéger les données indépendamment de l'infrastructure

Simon Pampelin

Node4 fournit une plate-forme de cloud privé pour le logiciel EMiR

Le risque des affaires informatiques comme d'habitude

L'industrie des services financiers est prête pour la refonte de l'IA.

Les données sont inestimables, mais les entreprises ont besoin d'un intendant responsable et...

Comment les détaillants peuvent adopter l'IA pour fidéliser

IA conversationnelle : Différencier relation et fonction.

Top 5 des concurrents de ChatGPT dans l'industrie de l'IA

Télécommunications : passé, présent et futur

Nous pensons que vous aimerez :

Connectez-vous à votre compte

Créer un compte TBTech