Qu’est-ce que la détection et la réponse aux menaces liées aux données (DDR) ?

Contrairement à d’autres outils de prévention des pertes de données (DLP) qui surveillent l’infrastructure réseau et les terminaux à la recherche d’activités suspectes, les outils DDR se concentrent sur les données elles-mêmes, en suivant leur mouvement et leur activité.

Pensée comme une approche proactive de la sécurité cloud, la DDR permet de détecter en temps réel les cybermenaces pesant sur les données au repos ou en mouvement. Elle permet également d’automatiser la réponse aux cyberattaques afin que les violations de données, les attaques par ransomware et autres tentatives d’exfiltration puissent être contenues dès qu’elles se produisent.

Les solutions DDR sont importantes, car elles permettent de combler les vulnérabilités des données cloud distribuées sur plusieurs plateformes, applications, entrepôts de données et environnements SaaS.

La nature ouverte et interconnectée du cloud computing peut mettre en danger des informations sensibles telles que les données clients, les données personnelles (PII) et les données financières.

Selon le rapport sur le coût d’une violation de données d’IBM, 40 % des violations de données concernent des données stockées dans plusieurs environnements. Les données volées dans les clouds publics ont entraîné le coût moyen de violation le plus élevé, soit 5,17 millions de dollars.

Avec la multiplication des réglementations sur la confidentialité des données et le coût sans précédent des violations de données à l’échelle mondiale, les entreprises doivent impérativement mettre en place des stratégies efficaces de sécurité des données dans le cloud.

Les solutions de sécurité telles que la détection et la réponse des terminaux (EDR), la détection et la réponse étendues (XDR) et les pare-feux protègent contre les menaces de données au niveau du réseau et des appareils. Cependant, comme les périmètres réseau sont souvent poreux dans les réseaux connectés au cloud, ces mesures de sécurité offrent une protection limitée lorsque les données circulent ou existent simultanément sur plusieurs systèmes.

La DDR, quant à elle, opère au-delà des périmètres réseau. Elle surveille et protège les données elles-mêmes, quel que soit leur emplacement.

Grâce à la découverte et à la classification des données, la DDR localise les données sensibles. Elle suit ensuite leur mouvement et leur utilisation dans les environnements multicloud.

Les capacités d’analyse avancée et de détection des anomalies permettent aux outils de DDR d’identifier les activités malveillantes ou les comportements suspects des utilisateurs. Ainsi, un accès non autorisé, des téléchargements massifs d’informations, des transferts de données tard dans la nuit ou une adresse IP provenant d’un emplacement inhabituel peuvent être le signe d’une cyberattaque.

La DDR est généralement déployée dans le cadre d’un système de data security posture management (gestion de la posture de sécurité des données, DSPM). Le DSPM fournit une vue centralisée des menaces potentielles dans les environnements cloud d’une entreprise. La DDR assure la protection des données en temps réel pour détecter ces menaces et y répondre.

Les entreprises peuvent également intégrer la DDR à d’autres outils de sécurité tels que la gestion de la posture de sécurité du cloud (CSPM), l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR), la gestion des informations et des événements de sécurité (SIEM) et les solutions de gestion des risques.

Une solution de détection et de réponse aux menaces liées aux données se compose de quatre éléments principaux :

L’exfiltration des données est le transfert non autorisé d’informations depuis les systèmes internes d’une entreprise. Un employé peut par exemple tenter de télécharger des informations confidentielles ou des secrets commerciaux avant de quitter l’entreprise pour rejoindre un concurrent. Un cybercriminel peut également voler des données personnelles pouvant être utilisées pour commettre une fraude à la carte bancaire.

La DDR empêche l’exfiltration en surveillant et en détectant les activités de données suspectes en temps réel. Sa capacité de réponse automatisée permet de prévenir tout téléchargement de données malveillant et d’en alerter les équipes de sécurité afin qu’elles prennent des mesures supplémentaires.

Les menaces internes peuvent être difficiles à détecter car elles proviennent d’utilisateurs autorisés de l’entreprise, tels que des employés, des sous-traitants et des partenaires commerciaux. Les cybercriminels peuvent parfois dérober des identifiants vérifiés afin de s’en servir.

Plus une menace interne reste longtemps non détectée, plus les dommages causés par le vol ou la manipulation de données à des fins malveillantes peuvent être importants.

La DDR offre l’avantage de détecter les menaces internes plus rapidement que les solutions traditionnelles. Au lieu de détecter le vol de données après coup, elle peut repérer les signes avant-coureurs des menaces internes. Grâce à l’analyse comportementale et à la détection des anomalies, la DDR identifie les comportements suspects des utilisateurs autorisés, déclenche des alertes de sécurité et répond aux menaces avant ou pendant qu’elles se produisent.

Les ransomwares sont des logiciels malveillants qui chiffrent les données sensibles d’une entreprise et les détiennent contre rançon. C’est l’une des formes les plus courantes de logiciels malveillants et elle peut coûter des millions de dollars aux entreprises touchées. Selon le Rapport sur le coût d’une violation de données, les attaques par ransomware coûtent en moyenne 4,91 millions de dollars aux entreprises.

La DDR peut atténuer les attaques par ransomware en surveillant et en identifiant les anomalies dans l’accès aux données et l’activité des données en temps réel.

Ainsi, elle peut détecter le chiffrement imprévu de gros volumes d’informations, souvent le signe d’une attaque par ransomware. La DDR peut alors isoler automatiquement le système affecté pour contenir l’attaque et alerter les équipes de sécurité afin qu’elles prennent des mesures supplémentaires.

Les entreprises sont soumises à des pressions pour se conformer aux réglementations en matière de protection des données, telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) et le Règlement général sur la protection des données (RGPD). Le non-respect de ces obligations peut entraîner des amendes, des sanctions et une atteinte à la réputation de la marque.

La DDR aide les entreprises à gérer la conformité des données en surveillant en permanence les données, en effectuant des audits de données et en contrôlant les journaux d’accès. Cette fonctionnalité aide les entreprises à adapter leurs capacités de protection des données aux exigences réglementaires. Toute lacune en matière de protection ou toute violation éventuelle peut être rapidement identifiée et corrigée.