Qu’est-ce qu’une Plateforme de sécurité des données ?

Une plateforme de sécurité des données (“Data Security Platform” ou DSP) fait partie de la catégorie des produits de sécurité informatique ayant vocation à remplacer plusieurs autres outils disparates de sécurité.

Ces DSP proposent en conjonction des fonctions de protection des données, qui permettent la découverte des données sensibles, la définition de règles d’accès aux données, les analyses de comportement des utilisateurs, la détection avancée des menaces, la surveillance de l’activité et la production de rapports de conformité. De plus, elles s’intègrent avec les autres outils de sécurité informatique.

Elles offrent aussi une interface utilisateur de gestion unifiée, qui permet aux équipes chargées de la sécurité d’orchestrer de façon centralisée leur tâches et de définir des politiques de sécurité s’appliquant de façon uniforme à toutes sortes de référentiels de données, en local et dans le cloud.

Illustration reprise et adaptée d’un rapport Forrester de juillet 2016, « The Future Of Data Security And Privacy: Growth And Competitive Differentiation » (« L’avenir de la sécurité des données et du respect de la vie privée : Croissance et différenciation compétitive »).

La montée en puissance du concept de Plateforme de sécurité des données

Dans un contexte où les menaces sont en évolution constante, le risque d’atteinte aux données est quasi permanent et les exigences règlementaires sont de plus en plus strictes, la gestion et la protection des données est une tâche plus ardue que jamais. Ajoutez à cela la croissance exponentielle des données dans de multiples « silos », et vous comprendrez que la combinaison de ces facteurs a rendu l’approche avec des outils de sécurité divers et disparates intenable. Ces outils indépendants les uns des autres entraînent souvent une incohérence des politiques de sécurité définies dans chacun d’eux.

Bien des entreprises découvrent par ailleurs avec quelque étonnement qu’une simple augmentation des dépenses budgétaires liées à la sécurité informatique n’entraîne pas nécessairement une amélioration de la sécurité globale des données. Le montant de l’investissement est moins pertinent en lui-même que la nature des outils achetés et la façon dont on les met en œuvre ensuite.

Le « paquet sur les dépenses » n’est donc pas une solution viable. De ce fait, les directeurs de la sécurité informatique cherchent désormais à investir dans des plateformes multifonctions plutôt que dans des produits spécialisés, afin de rendre plus efficace leur effort de sécurisation dans toute l’entreprise, de simplifier la gestion de l’ensemble, de rationaliser les processus et de maîtriser leurs coûts.

Selon Gartner, « D’ici 2020, les produits d’audit et de protection des données remplaceront les utilitaires disparates de sécurité des données dans 40 % des grandes entreprises, alors que ce n’est déjà le cas que dans 5 % d’entre elles aujourd’hui. »

(Source : Gartner Market Guide for Data-Centric Audit and Protection, March 21, 2017 [Guide d’achat des outils d’audit et de protection des données – 21 mars 2017]).

Quels sont les avantages apportés par une Plateforme de sécurité des données ?

Il existe des avantages très clairs à regrouper des fonctions dans un seul produit, ce qui se vérifie souvent dans tous les domaines technologiques, au-delà de la thématique de la sécurité des données :

  • plus grande facilité de gestion et d’entretien ;
  • plus grande facilité de coordination stratégique ;
  • plus grande facilité de formation des nouveaux collaborateurs ;
  • plus petit nombre de composants à mettre à jour régulièrement ;
  • plus petit nombre de fournisseurs spécialisés avec qui être en relation ;
  • plus petit nombre d’incompatibilités;
  • réduction des coûts par abandon d’une multiplicité d’outils.

Dans le domaine de la sécurité informatique, le contexte est l’aspect primordial. Et le contexte est beaucoup plus lisible lorsque plusieurs produits ou fonctions sont intégrés au sein d’une plateforme unifiée.

De ce fait, les avantages apportés par une Plateforme de sécurité des données sont très prononcés :

  • En combinant des fonctionnalités auparavant disparates, les DSP disposent de plus de contexte sur la sensibilité des données, les contrôles d’accès et les comportements des utilisateurs ; par conséquent, elles peuvent offrir un panorama plus complet d’une atteinte à la sécurité ou sur les risques d’atteinte.
  • Le coût total de propriété (TCO) d’une DSP est inférieur à celui de solutions disparates recouvrant les mêmes fonctions.
  • En général, les plateformes sont conçues sur la base d’une architecture flexible et peuvent parfaitement s’accommoder de l’ajout de nouveaux magasins de données ou de l’ajout de nouvelles fonctionnalités lorsque c’est utile, ce qui confère plus de pérennité à un tel investissement.
  • Maintenir la compatibilité entre plusieurs produits de sécurité des données peut être un défi bien coûteux en temps et en efforts pour les équipes chargées de la sécurité informatique.
    • L’investissement dans une plateforme débouche souvent sur une réduction des charges d’exploitation, compte tenu du fait qu’il y a moins de fournisseurs avec qui entretenir une relation et moins de produits à configurer et à mettre à jour de temps à autre.
    • Réduction, également, des dépenses d’investissement par retrait des solutions ponctuelles
  • Les directeurs de la sécurité informatique veulent pouvoir mettre en œuvre leur stratégie de sécurisation des données de façon cohérente et homogène pour tous les silos de données, et pouvoir aisément mesurer les résultats de cette mise en œuvre.

Raisons pour lesquelles le contexte est crucial pour la détection des menaces

 

Et si vos outils de sécurité des données ne disposent pas d’assez de contexte ?

Prenons l’exemple d’un produit autonome de protection contre la perte de données (DLP).

Juste après sa mise en service, il n’est pas rare de recevoir des dizaines de milliers d’alertes concernant des fichiers sensibles. Par où commencer ? Comment établir les priorités ? Dans cette masse colossale d’alertes, lequel des incidents signalés correspond à un vrai risque réclamant votre attention immédiate et totale ?

Et le défi ne s’arrête pas là. Considérez un incident/une alerte au hasard ; les fichiers sensibles concernés ont peut-être été automatiquement chiffrés et mis en quarantaine, mais que peut-on faire à partir de là ? Qui dispose des connaissances et de l’autorité nécessaires pour décider des mesures de contrôle d’accès appropriées ? En retirant ces fichiers du circuit, à qui allons-nous compliquer la tâche pour faire leur travail ? Pourquoi et comment ces fichiers ont-ils abouti là où ils étaient placés à l’origine ?

Les solutions DLP, en elles-mêmes, offrent très peu de contexte relatif à l’usage qui est fait des données, aux permissions d’accès et aux titulaires des jeux de données dont elles relèvent, ce qui complique la tâche du service informatique dans sa démarche de résolution pratique de chaque incident. Le service informatique n’est pas qualifié pour prendre seul des décisions relatives à l’accessibilité et à l’utilisation acceptable des données ; et même s’il l’était, il n’est pas réaliste d’envisager de prendre ce genre de décisions fichier par fichier.

Vous commencez peut-être à remarquer un constat répétitif : avec des produits disparates, on en vient à se poser des questions très pertinentes, mais ce sont les réponses à ces questions qui nous intéressent le plus, et que seule une plateforme DSP peut apporter.

Quelles fonctionnalités précédemment autonomes une Plateforme de sécurité des données reprend-elle ?

  • Classification et découverte des données
    • Où se trouvent mes données sensibles ?
    • Quels types de données sensibles à usage règlementé stockons-nous ? (Par exemple, Cartes bancaires [PCI], Données à caractère personnel [PII], Données à caractère personnel selon le GDPR, etc.)
    • Comment établir les priorités en matière de détection d’intrusion et de restauration au statu quo ante ? Quelles sont les données qui n’ont pas besoin d’être ainsi traitées ?
  • Gestion des permissions d’accès
    • Où se trouvent mes données sensibles les plus exposées ?
    • Qui a accès à des informations sensibles dont il ou elle n’a pas besoin ?
    • Comment les permissions d’accès sont-elles accordées ? Sont-elles normalisées ? Cohérentes ?
  • Analyse du comportement des utilisateurs
    • Qui accède à ces données de façon anormale ?
    • Quel est le comportement normal d’un rôle ou d’un compte donné ?
    • Quels sont les comptes utilisés pour exécuter des processus automatisés ? Quels sont ceux qui accèdent à des données critiques ? À des fichiers et e-mails de cadres dirigeants ?
  • Détection et réponses avancées aux menaces
    • Quelles sont les données attaquées ou potentiellement compromises par une menace interne ?
    • Quels sont les comptes d’utilisateur qui ont été piratés ?
    • Quelles données ont été éventuellement volées ?
    • Qui tente d’exfiltrer des données ?
  • Audit et rapports (la fonction Réponse peut aussi être abordée ici)
    • Quelles données ont été « visitées » ? Par qui ? Quand ?
    • Quels fichiers et e-mails ont été l’objet d’accès ou supprimés par un utilisateur donné ?
    • Quels fichiers ont été compromis par une intrusion, par quels comptes et quand exactement ont eu lieu ces évènements ?
    • Quel utilisateur a apporté cette modification à un système de fichiers, à une liste de contrôle d’accès ou à un objet Politique de groupe ?
  • Politique d’accès aux données
    • Comment mettre en œuvre et respecter une politique de privilèges « a minima » ?
    • Qui est le titulaire de ces données ? Qui doit être décisionnaire en matière de privilèges d’accès pour chaque jeu de données critique ?
    • Comment gérer les phénomènes des nouvelles embauches, des transferts dans un autre service et des départs, de telle sorte que ce soit toujours les personnes adéquates qui gère les privilèges d’accès ?
  • Conservation et archivage des données
    • Comment nous débarrasser de données « toxiques » dont nous n’avons plus besoin ?
    • Comment satisfaire en pratique à nos obligations vis-à-vis des personnes dont nous détenons des données à caractère personnel (droit à l’effacement et droit à l’oubli) ?

Études analytiques

Un certain nombre de cabinets d’études de marchés se sont intéressés au marché des Plateformes de sécurité des données et ont publié des rapports d’étude et des guides d’achat pour aider les directeurs de sécurité informatique et autres décisionnaires en matière de logiciels de sécurité.

Étude “Expense in depth” de Forrester

En janvier 2017, la firme Forrester Consulting a publié une étude, commandée par Varonis et intitulée The Future Of Data Security And Privacy: Expense in Depth Hinders Maturity (« La sécurisation des données est un gouffre financier : multiplier les dépenses empêche de parvenir à une solution aboutie ») qui révèle que l’approche “candy-store” (« J’veux acheter TOUS les bonbons ! » 😉 des produits de sécurité des données peut en réalité être dommageable à l’objet même de l’investissement, à savoir la protection des données. Les auteurs enquêtent par ailleurs sur la capacité des DSP à doter les professionnels de la sécurité des capacités qu’ils recherchent, notamment les analyses, la classification et les contrôles d’accès, tout en réduisant leurs coûts et les défis techniques associés.

L’étude enseigne qu’une approche multiproduits a tendance à exacerber les vulnérabilités et les défis. 96 % des sondés avouent penser qu’une approche unifiée leur profiterait, notamment en matière de prévention et de réponse plus rapide des tentatives d’attaque, limitant ainsi leur exposition aux risques, réduisant la complexité et les coûts. L’étude analyse plus en détails des sous-domaines pour lesquels les structures de sécurité des données sont en général défaillantes :

  • 62 % des responsables interrogés ne savent pas où se trouvent leurs données non structurées les plus sensibles.
  • 66 % d’entre eux n’opèrent pas de classification correcte de leurs données.
  • 59 % n’ont pas mis en place le modèle des privilèges d’accès « a minima ».
  • 63 % ne pratiquent pas d’audit de ces données et ne sont pas alertés en cas d’intrusion.
  • 93 % subissent des défis techniques persistants dans le cadre de leur approche actuelle de la sécurité des données.

Les produits monofonctionnels peuvent protéger de menaces bien spécifiques, mais lorsqu’on en fait un usage tactique, ils nuisent en réalité à leurs efforts plus globaux de sécurité.

Selon l’étude, « il est temps de mettre fin à des dépenses somptuaires dans ce domaine et au casse-tête qui consiste à faire fonctionner en cohérence différents logiciels disparates ».

Près de 90 % des sondés appellent de leurs vœux une plateforme unifiée de sécurité des données. Les grandes fonctions qu’ils souhaitent trouver dans une telle plateforme, comprennent notamment :

  • la classification et l’analyse des données ainsi que les rapports correspondants (68 % des sondés) ;
  • l’aide à la conformité règlementaire (76 % des sondés) ;
  • le regroupement des grandes fonctions de gestion (70 % des sondés) ;
  • l’amélioration de la réponse aux activités anormales (68 % des sondés).

Forrester conclut :

Guide d’achat DCAP de Gartner

Gartner a publié l’édition 2017 de son Market Guide for Data-Centric Audit and Protection. Le résumé proposé décrit brièvement la supériorité de l’approche « plateforme » pour assurer la sécurité des données :

Gartner recommande aux entreprises de « mettre en œuvre une stratégie DCAP et de dresser une “short list” de produits qui orchestrent toutes les fonctions de sécurité des données de façon cohérente sur tous les silos où résident des données sensibles ». Plus loin, le rapport précise : « La capacité d’un fournisseur à intégrer ces fonctionnalités portant sur des silos multiples varie d’une plateforme à l’autre et aussi par rapport aux produits monofonctionnels de chaque sous-segment. Voici un résumé des fonctions clés à investiguer : »

  • découverte et classification des données ;
  • gestion de la politique de sécurité des données ;
  • surveillance des privilèges utilisateurs et de l’activité en termes d’accès aux données ;
  • audit et rapports;
  • analyse des comportements, alertes et blocages de comptes ;
  • protection des données.

Démonstration de la plateforme complète de sécurisation des données Varonis

La Plateforme de sécurité des données Varonis (DSP) protège les données des entreprises des menaces internes, des intrusions et des cyberattaques en analysant les contenus, l’accessibilité des données et les comportements des utilisateurs et des serveurs qui se servent de ces données, le but étant d’alerter en cas de comportements nuisibles, d’instaurer une politique des privilèges « a minima » et d’automatiser les fonctions de gestion des données.

Pour en savoir plus sur la plateforme complète de sécurisation des données Varonis →

Ce que nos clients disent de la Plateforme Varonis

Gartner ne recommande préférentiellement aucun fournisseur ni aucun produit ou service étudié dans ses publications et ne recommande pas spécifiquement à ses lecteurs de choisir uniquement les produits des fournisseurs les mieux notés. De plus, les rapports d’étude Gartner présentent les opinions des chercheurs de chez Gartner et ne sont pas à prendre comme des propositions objectives. Gartner n’offre aucune garantie, expresse ou implicite, quant à ses études et notamment pas une garantie de qualité marchande ou d’adéquation à un usage particulier.