Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Confidentialité & Conformité

Quelques réflexions sur les normes de sécurité des données

Saviez-vous que la norme de sécurité des données NIST 800-53 de 462 pages comprend 206 contrôles et plus de 400 contrôles secondaires1 ?  Vous pouvez jeter un œil sur sa version XML ici. La norme...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 17 août 2022

Contenu

    Saviez-vous que la norme de sécurité des données NIST 800-53 de 462 pages comprend 206 contrôles et plus de 400 contrôles secondaires1 ?  Vous pouvez jeter un œil sur sa version XML ici. La norme PCI DSS n’est pas non plus une partie de plaisir, avec quelques centaines de contrôles secondaires. Et enfin, il y a la norme de données IS0 27001, particulièrement tentaculaire.

    N’oublions pas les cadres de sécurité tels que le COBIT et NIST CSF, qui sont en quelque sorte des méta-normes mappées dans d’autres contrôles de sécurité. Quant aux organisations des secteurs médical et financier soumises aux règles fédérales américaines de sécurité des données, elles doivent aussi prendre en compte les réglementations de données HIPAA et GLBA. Vous devez aussi respecter le GDPR si vous menez vos affaires en UE ; le PIPEDA au Canada ; ceci aux Philippines, etc., etc.

    Les difficultés techniques et juridiques sont suffisamment nombreuses pour occuper jusqu’à la fin des temps les pros de la sécurité informatique, les avocats chargés des affaires de confidentialité des données, les auditeurs et les diplomates.

    En tant que blogueur dans le domaine de la sécurité, j’ai également cherché à comprendre et étudié les normes et réglementations mentionnées plus haut. Je ne suis pas le premier à avoir remarqué ce qui saute aux yeux : les normes de sécurité des données utilisent des modèles qui les rendent très similaires.

    Les connexions entre les contrôles de sécurité

    Si vous avez compris et appliqué une norme, alors il est très probable que vous soyez aussi en conformité avec d’autres normes. En fait, c’est une bonne raison de mettre en place des cadres. Par exemple, avec NIST CSF, vous pouvez tirer parti de votre investissement dans ISO 27001 ou ISA 62443 grâce à son tableau de contrôle croisé (voir ci-dessous).

    connexions entre les contrôles de sécurité
    Vous avez la conformité ISO 27001 ? Alors, vous avez la conformité NIST CSF !

    Je pense que nous serons tous d’accord sur le fait que la plupart des organisations considéreront comme impossible de mettre en œuvre tous les contrôles d’une norme de données courante avec le même degré d’attention. Quand avez-vous contrôlé pour la dernière fois les journaux d’audit d’accès physique à vos équipements de transmission des données (NIST 800-53, PE-3b) ?

    Par conséquent, pour simplifier le travail des entreprises et employés qui interviennent dans ce domaine, certains organismes de normalisation ont émis d’autres directives qui décomposent l’énorme liste de contrôles en objectifs plus faciles à atteindre.

    Le groupe PCI a défini des priorités pour son approche de DSS et a ainsi défini six étapes pratiques décomposées en un sous-ensemble plus modeste de contrôles pertinents. Il possède aussi un guide de meilleures pratiques qui appréhende (et c’est important) les contrôles de sécurité en trois domaines fonctionnels plus larges : évaluation, remédiation et surveillance.

    En fait, nous avons écrit un fascinant livre blanc expliquant ces meilleures pratiques et comment vous devriez utiliser les résultats de la surveillance pendant le cycle d’évaluations suivant. En bref : un processus de sécurité est toujours en cours.

    Le NIST CSF, lui-même une version épurée de NIST 800-53, procède à une décomposition similaire de ces contrôles en catégories plus larges, dont l’identification, la protection et la détection. Si vous examinez de plus près les contrôles d’identification CSF, qui consistent principalement à dresser l’inventaire de vos équipements et systèmes de données informatiques, vous verrez que l’objectif principal dans ce domaine est d’évaluer ou estimer les risques de sécurité liés aux éléments que vous avez répertoriés.

    Évaluations des risques liés aux fichiers

    Selon moi, la méthode basée sur l’évaluation, la protection et la surveillance constitue un bon moyen d’organiser et prendre en compte toutes les normes de sécurité des données.

    Lorsqu’elles gèrent ces normes de données, les organisations peuvent aussi prendre un raccourci parmi ces contrôles en fonction de ce que l’on sait sur les types de menaces qui fleurissent, et non de celles auxquelles les auteurs des normes de données étaient confrontés lorsqu’ils ont rédigé les contrôles !

    Nous sommes dans une nouvelle ère de pirates furtifs qui pénètrent dans les systèmes sans être détectés, souvent par le biais d’e-mails de phishing, et qui exploitent des données d’identification préalablement subtilisés ou des vulnérabilités zero-day. Une fois dans la place, ils peuvent utiliser, à l’insu des systèmes de surveillance, des techniques non basées sur un malware pour trouver des données monétisables qu’ils suppriment ou exfiltrent.

    Bien entendu, il est important d’évaluer, protéger et surveiller l’infrastructure réseau, mais ces nouvelles techniques d’attaque suggèrent que l’attention doit être portée en interne.

    Et nous en revenons à l’un des thèmes favoris du blog IOS. Vous devez vraiment faire en sorte de compliquer la tâche des hackers qui cherchent à se procurer des données de valeur (comme des informations de carte de crédit, numéros de compte, propriété intellectuelle) dans vos systèmes de fichiers, et vous efforcer de détecter et bloquer les pirates le plus rapidement possible.

    Par conséquent, lorsque vous vous demandez comment appliquer les contrôles classiques de sécurité des données, pensez aux systèmes de fichiers !

    Dans le cas de NIST 800.53, cela signifie analyser les systèmes de fichiers, rechercher des données sensibles, examiner les LCA ou les droits, puis à évaluer les risques (CM-8, RA-2,RA-3). En termes de remédiation ou de protection, cela impliquerait de réorganiser les groupes Active Directory et de redéfinir les LCA pour les rendre plus exclusives (AC-6). Au niveau de la détection, vous chercherez les accès inhabituels au système de fichiers qui révèlent probablement que des hackers empruntent des données d’identification d’employés (SI-4).

    Je pense que le plus important est de ne pas seulement considérer ces normes de données comme une énorme liste de contrôles déconnectés, mais plutôt de les appréhender dans le contexte d’une évaluation-protection-surveillance, puis de les appliquer à vos systèmes de fichiers.

    J’aurai encore d’autres choses à vous dire dans les semaines à venir sur les contrôles de sécurité des données axés sur les données ou les fichiers.

    1 Comment savez-vous que NIST 800-53 comprend plus de 400 contrôles secondaires ? J’ai pris le fichier XML et ai exécuté les deux incroyables lignes PowerShell suivantes :

    1. [xml]$books = Get-Content 800-53-controls.xml
    2. $books.controls.control|%{$_.statement.statement.number}| measure –line

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    David Harrington
    9 février 2023
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    David Harrington
    22 juillet 2022
    La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Qu’est-ce que le cadre de cybersécurité NIST ?
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Josue Ledesma
    13 juin 2022
    Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    David Harrington
    5 août 2021
    La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.