La gestion de la posture de sécurité des données (Data Security Posture Management ou DSPM) est une technologie de cybersécurité qui identifie les données sensibles dans plusieurs environnements et services cloud puis évalue leur vulnérabilité face aux menaces de sécurité et le risque de non-conformité réglementaire. Grâce aux informations fournies et à l’automatisation des processus, la DSPM permet aux équipes de résoudre les problèmes de sécurité et de conformité des données avec diligence et de prendre des mesures pour éviter qu’ils ne se reproduisent.
Apparu pour la première fois dans le « 2022 Hype Cycle for Data Security » de Gartner, un analyste du secteur de la technologie, le concept de DSPM est parfois appelé « sécurité data first » parce qu’il inverse le modèle de protection adopté par d’autres technologies et pratiques de cybersécurité. Au lieu de sécuriser les appareils, les systèmes et les applications qui hébergent, transfèrent ou traitent des données, la DSPM se concentre sur la protection directe des données. Notons cependant que la DSPM peut servir de complément à de nombreuses autres solutions de la pile de sécurité d’une organisation.
Enterprise Management Associates (EMA), un analyste des TI, affirme qu’IBM a renforcé sa position de leader dans la sécurité des données avec l’intégration de capacités DSPM dans Guardium.
La plupart des technologies de sécurité protègent les données sensibles en empêchant tout accès non autorisé au réseau ou en détectant et en bloquant les comportements suspects ou malveillants des utilisateurs autorisés ou non autorisés, des interfaces de programmation des applications (API), de l’Internet des objets (IdO) ou d’autres entités.
Ces technologies ont avantageusement transformé la détection et la réponse aux menaces, mais aussi la sécurité des données. Mais l’adoption effrénée du cloud computing, du développement agile cloud-natif, de l’intelligence artificielle (IA) et du machine learning (ML) a créé des risques et des vulnérabilités dans la sécurité des données que les technologies de contrôle d’accès et de détection des menaces sont parfois incapables de traiter. Ceci peut rendre les organisations vulnérables aux violations de données et aux violations de conformité réglementaire.
Le risque principal qui pèse sur les données est celui des données cachées, c’est-à-dire des données sauvegardées, copiées ou répliquées dans un entrepôt de données qui n’est pas surveillé, géré ou régi par les mêmes équipes de sécurité, et auxquelles ne sont pas appliqués les mêmes contrôles de sécurité et les mêmes politiques de sécurité que les données originales. Par exemple, dans le cadre du développement et des tests itératifs, les équipes DevOps peuvent créer chaque jour de nouveaux entrepôts de données et y copier des données sensibles. Une seule mauvaise configuration peut rendre les données d’un ou de tous ces entrepôts plus vulnérables aux accès non autorisés.
La demande de données pour la modélisation IA ou ML peut également créer des données cachées, car les entreprises ont tendance à « démocratiser » l’accès aux données, les nouveaux bénéficiaires étant souvent des utilisateurs qui comprennent la sécurité et la gouvernance des données de façon plus sommaire. Sans parler d’un autre facteur qui décuple les risques : l’adoption de plus en plus courante du multicloud (utilisation des services et des applications cloud de plusieurs fournisseurs) et du cloud hybride (infrastructure qui combine et orchestre des environnements cloud publics et privés). Selon le Rapport sur le coût d’une violation de données d’IBM, 82 % des violations de données concernent des données stockées dans des environnements cloud, et 39 % des données piratées étaient stockées dans plusieurs types d’environnements informatiques, notamment le cloud privé, le cloud public et le cloud hybride et sur site.
Abonnez-vous à la newsletter d’IBM
Les solutions DSPM localisent les données sensibles d’une organisation, évaluent leur posture de sécurité, corrigent leurs vulnérabilités conformément aux objectifs de sécurité et aux exigences de conformité de l’organisation, et mettent en œuvre des mesures de protection et de surveillance pour éviter la récurrence des vulnérabilités identifiées. En règle générale, les solutions DSPM sont sans agent (ce qui signifie qu’elles ne nécessitent pas le déploiement d’une application logicielle distincte pour chaque ressource ou actif surveillé et protégé) et offrent un degré élevé d’automatisation.
Mis à part certains détails sur lesquels les experts peuvent avoir des avis divergents, la DSPM comporte quatre aspects principaux :
La découverte de données
La classification des données
L’évaluation des risques et la priorisation
La résolution et la prévention
Les capacités de découverte des données des solutions DSPM analysent en permanence les actifs sensibles, où qu’ils se trouvent. Ceci inclut notamment l’analyse :
des environnements sur site et dans le cloud (clouds publics, privés et hybrides)
de tous les fournisseurs de cloud, par exemple Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud et Microsoft Azure, ainsi que les fournisseurs Software-as-a-Service (SaaS) tels que Salesforce
de tous les services cloud : Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) et Database-as-a-Service (DBaaS)
de tous les types de données et d’entrepôts de données (par exemple les données structurées et non structurées, le stockage cloud (stockage par fichiers, stockage par blocs et stockage d’objets) ou services de stockage associés à des services cloud, des applications cloud ou des fournisseurs de services cloud spécifiques.
En général, la classification des données se fait selon certains critères prédéfinis. Dans le contexte de la DSPM, la classification des données catégorise les données en fonction de leur niveau de sensibilité, en déterminant ce qui suit pour chaque actif de données :
Le niveau de sensibilité des données : s’agit-il d’informations personnelles, confidentielles, liées à des secrets commerciaux, etc.
Qui peut accéder aux données et qui doit être autorisé à accéder aux données
Comment les données sont stockées, traitées et utilisées
Si les données sont soumises à des cadres réglementaires, par exemple la loi HIPAA (Health Insurance Portability and Accountability Act), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), le Règlement général sur la protection des données (RGPD) de l’UE, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ou CCPA) et d’autres réglementations en matière de protection ou de confidentialité des données.
La DSPM identifie et hiérarchise les vulnérabilités associées à chaque actif de données. La DSPM recherche principalement les vulnérabilités suivantes :
Erreurs de configuration
Les erreurs de configuration sont des paramètres de sécurité manquants ou incomplets dans les applications ou le système qui augmentent le risque d’accès non autorisé aux données d’une organisation. Le résultat le plus couramment constaté d’une mauvaise configuration est le défaut de sécurité de l’entrepôt de données cloud, mais les erreurs de configuration peuvent également créer d’autres vulnérabilités : correctifs de sécurité non appliqués, ou chiffrement manquant ou faible des données au repos ou en transit. La mauvaise configuration est le risque le plus courant de sécurité des données dans le cloud et est une cause importante de perte ou de fuite des données.
Privilèges excessifs
Les privilèges excessifs donnent aux utilisateurs des autorisations d’accès aux données plus importantes que ce dont ils ont besoin pour accomplir leurs tâches. Les privilèges excessifs peuvent être le résultat d’une mauvaise configuration, mais ils peuvent également se produire si les autorisations des utilisateurs sont augmentées intentionnellement, par négligence ou par un acteur malveillant. Il peut également arriver que des autorisations censées rester temporaires ne soient jamais révoquées, même lorsque l’utilisateur n’en a plus besoin.
Problèmes de flux de données et de traçabilité des données
L’analyse des flux de données permet de connaître tous les endroits où les données ont été stockées et qui y avait accès. Combinée à des informations sur les vulnérabilités de l’infrastructure, l’analyse des flux de données peut révéler les chemins d’attaque potentiels vers des données sensibles.
Violations de la politique de sécurité et de la réglementation
Les solutions DSPM mappent les paramètres de sécurité existants des données avec les politiques de sécurité des données de l’entreprise et avec les exigences de sécurité des données imposées par tout cadre réglementaire auquel l’organisation est soumise, le but étant d’identifier les domaines dans lesquels les données ne sont pas protégées de manière adéquate et où l’organisation court un risque de non-conformité.
Les solutions DSPM fournissent des rapports et des tableaux de bord en temps réel qui classent les vulnérabilités en fonction de leur gravité, grâce auxquels les équipes de sécurité et de gestion des risques peuvent se concentrer sur la résolution des problèmes les plus critiques. De nombreuses solutions DSPM fournissent également des instructions de résolution étape par étape ou des protocoles de réponse aux incidents, qui permettent de résoudre tout risque relevant de la sécurité des données (risques potentiels et menaces en cours).
Certaines solutions DSPM automatisent les modifications apportées aux configurations des applications ou des systèmes, aux contrôles d’accès et aux paramètres logiciels de sécurité pour mieux vous protéger contre l’exposition potentielle des données. D’autres peuvent s’intégrer aux workflows des DevOps pour corriger les risques de sécurité potentiels dès le début des cycles de développement des applications.
Tous les DSPM surveillent en permanence l’environnement pour détecter de nouvelles données et vérifient continuellement si ces données présentent des risques potentiels pour la sécurité.
La gestion de la posture de sécurité du cloud, ou CSPM, est une technologie de cybersécurité qui automatise et unifie l’identification et la résolution des erreurs de configuration et des risques de sécurité dans les environnements et les services hybrides et multicloud.
La CSPM ressemble à la DSPM, mais les deux diffèrent par leur objectif. La CSPM se concentre sur la recherche et la correction des vulnérabilités au niveau de l’infrastructure cloud, et plus particulièrement dans les unités de traitement (telles que les machines virtuelles ou les conteneurs) et les implantations PaaS. La DSPM se concentre sur la recherche et la correction des vulnérabilités au niveau des données. Plus les entreprises généralisent leur adoption du cloud, plus elles auront besoin des deux : la CSPM pour limiter ou empêcher tout accès non autorisé aux actifs de l’infrastructure cloud, et la DSPM pour limiter ou empêcher l’accès non autorisé aux données qu’ils contiennent.
La DSPM peut être intégrée à d’autres outils de sécurité, notamment pour améliorer la posture de sécurité des données d’une entreprise, ainsi que ses capacités de détection, de prévention et de réponse aux menaces en général.
DSPM et IAM
La gestion des identités et des accès, ou IAM, gère les identités des utilisateurs et les autorisations d’accès, le but étant que seuls les utilisateurs et appareils autorisés puissent accéder aux ressources dont ils ont besoin, pour les bonnes raisons et au bon moment. En intégrant la DSPM et l’IAM, les équipes de sécurité peuvent automatiser les modifications apportées aux autorisations d’accès pour mieux protéger les données sensibles de leur organisation.
DSPM et EDR
La détection et réponse des terminaux (EDR) utilise des outils d’analyse en temps réel et l’automatisation pilotée par l’IA pour surveiller et sécuriser les terminaux. Elle aide en outre à prévenir les cybermenaces qui parviennent à passer la barrière des logiciels antivirus et d’autres technologies traditionnelles de sécurité des terminaux. L’intégration de la DSPM et de l’EDR permet d’assurer la cohérence entre les politiques d’une entreprise (politique de sécurité des terminaux, politique de sécurité des données et politique de conformité).
DSPM et SIEM
La gestion des informations et des événements de sécurité (SIEM) collecte des données de journal liées à la sécurité et d’autres informations provenant de toute l’entreprise. Elle corrèle et analyse ensuite ces données pour aider les équipes de sécurité à détecter les menaces et à rationaliser ou à automatiser les réponses aux incidents. La DSPM peut ingérer des données SIEM afin d’obtenir un contexte et des informations supplémentaires sur la posture de sécurité des données.
DSPM et DLP
La prévention des pertes de données (DLP) aide les entreprises à prévenir les fuites de données, l’exfiltration de données (vol de données) et la perte de données en suivant les données du réseau et en appliquant des politiques de sécurité granulaires. L’intégration de la DSPM et de la DLP peut enrichir l’analyse des flux de données de la DSPM pour identifier plus précisément les risques de sécurité des données et les chemins d’attaque des données sensibles.
Découvrez les données cachées, analysez le flux de données et identifiez les vulnérabilités de votre cloud et des applications SaaS. Offrez à vos équipes la visibilité et les informations essentielles dont elles ont besoin pour garantir la sécurité et la conformité des données sensibles de votre entreprise.
Protégez les données de l’entreprise dans plusieurs environnements, gagnez en visibilité pour découvrir et corriger les cybermenaces, respectez les réglementations de confidentialité et diminuez la complexité opérationnelle.
Automatisez les audits et les rapports de conformité, découvrez et classifiez les données et les sources de données, surveillez l’activité des utilisateurs et répondez aux menaces de sécurité en temps quasi réel.
Sécurisez les données dans les environnements de cloud hybride et soutenez les parcours de migration et de modernisation des clients.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
La solution SIEM (gestion des informations et des événements de sécurité) est un logiciel qui aide les organisations à reconnaître et à traiter les potentielles menaces et vulnérabilités de sécurité avant qu’elles ne puissent interrompre les opérations métier.
La CSPM automatise et unifie l’identification et la résolution des erreurs de configuration et des risques de sécurité dans les environnements et les services hybrides et multicloud.