Varonis mentionné par Forrester pour ses fonctions de classification des données

Lorsque j’ai voulu assurer ma maison et son contenu, je me souviens avoir eu à remplir un formulaire qui m’obligeait à cataloguer et à évaluer tous les biens importants, de valeur notable et irremplaçables que j’avais chez moi, afin de parvenir à une évaluation précise de leur coût à chacun si d’aventure il devenait nécessaire de les remplacer en cas de sinistre – cambriolage, incendie, etc.

C’est en fait un exercice très proche de l’analyse de leurs données à laquelle les entreprises et organismes publics doivent aujourd’hui procéder. Il s’agit de nous demander : quelles sont les informations qui sont stockées sur nos disques ? Où exactement ? Sont-elles concernées par des obligations règlementaires ?

Ce type de classification de leurs données est une initiative majeure à laquelle aucune entreprise ne peut plus aujourd’hui déroger, tant pour protéger leurs données que pour se mettre en conformité avec les règlementations correspondantes. Dans un rapport de février 2017 intitulé Première approche du marché de la classification des données à des fins de sécurité et de protection de la vie privée, l’institut d’études de marché Forrester Research écrit : « La classification des données est indispensable pour définir et bien comprendre les données que les professionnels de la sécurité informatique doivent protéger ; elle l’est tout autant pour formuler explicitement de quelle façon les salariés doivent les traiter et pour définir les contrôles de sécurité à mettre en place. »

En d’autres termes, il n’est pas sérieusement possible de protéger les informations dont on dispose mais que l’on ne connaît pas.

Dans ce rapport, Forrester mentionne Varonis comme faisant partie des logiciels spécialisés qui « proposent des fonctionnalités de classification des données en plus de celles d’inventaire des données et de correction des problèmes détectés. »

En effet, la Plateforme de sécurisation des données (DSP) Varonis analyse et profile les différents rôles d’utilisateur, les systèmes de fichiers et les échanges d’e-mails, les permissions/privilèges d’accès aux données, le contenu des fichiers et les informations compilées par les services « d’annuaire » informatique. Les algorithmes de classification automatique de la plateforme corrèlent tous ces flux et ces synthèses de métadonnées produits par d’autres solutions de classification pour offrir une visibilité plus grande sur les contenus des données. Cet effort de classification des données produit suffisamment « d’intelligence » pour déboucher sur des actions concrètes de sécurisation et de mise en conformité, notamment la création d’une liste priorisée des dossiers contenant des données sensibles qui sont les plus exposées, d’une liste des points d’accès à ces données, de leurs utilisateurs et de leurs titulaires, pour aboutir à fixer des limitations d’accès opportunes sans pour autant perturber les processus métier.

La classification des données est donc une étape critique pour les professionnels de la sécurité et des risques informatiques : elle et elle seule leur permet de définir et de comprendre comment protéger des données sensibles. Le rapport argumente pourquoi la classification des données doit occuper une place importante dans le budget de sécurité informatique d’une entreprise ou d’un organisme public : « Même si les attaques ciblées semblent être la nouvelle norme, une approche uniquement réactive à la sécurité des données ciblées est inefficace. Une stratégie globale explicite de sécurité est indispensable – tout comme la connaissance précise de ce qui doit être protégé – comme fondement de tous les efforts consentis en la matière. »

Cependant, bien des entreprises restent trop focalisées sur les réponses à court terme aux menaces et ne comprennent ou ne maîtrisent pas bien leurs données sensibles. De fait, une étude commandée par Varonis à Forrester Consulting en janvier 2017 et intitulée « La sécurisation des données est un gouffre financier : multiplier les dépenses empêche de parvenir à une solution aboutie » révèle que 62 % des sondés n’ont aucune idée des emplacements, sur leurs disques, de leurs données non structurées les plus sensibles. Bien comprendre ce qui a lieu d’être considéré comme « données sensibles » – voire données « toxiques » – permet de penser et de contextualiser utilement les contrôles à mettre en place et les politiques à faire respecter pour promouvoir une sensibilité générale aux données dans l’entreprise et une notion claire de la façon opportune de les manipuler.

Le rapport sur la Première approche du marché indique que 54 % des décisionnaires en matière de sécurité informatique ont déjà commencé à mettre en place une solution de classification des données et que 22 % du reste des sondés ont prévu de le faire dans l’année qui vient. À mesure que de plus en plus d’entreprises auront compris l’importance de procéder à un inventaire général de leurs données, des solutions comme la plateforme DSP de Varonis conforteront ces professionnels dans le sentiment d’adéquation de leurs systèmes aux risques actuels et contribueront à créer les fondements d’une politique de sécurité des données et de protection de la vie privée efficace.

Pour savoir où sont conservées vos données les plus sensibles, n’hésitez pas à nous demander une évaluation gratuite de vos risques : vous aurez ainsi une idée de ce qu’apporte la solution de classification automatisée qui fait partie de la plateforme Varonis.