Qu’est-ce que la gestion de la posture de sécurité des données (DSPM) ?

La DSPM fournit des informations et une automatisation qui permettent aux équipes de sécurité de résoudre rapidement les problèmes de sécurité et de conformité des données et d’éviter leur récurrence.

Apparu pour la première fois dans le rapport « 2022 Hype Cycle for Data Security » de Gartner, un analyste du secteur de la technologie, le concept de DSPM est parfois appelé « sécurité data first » parce qu’il inverse le modèle de protection adopté par d’autres technologies et pratiques de cybersécurité.

Au lieu de sécuriser les appareils, les systèmes et les applications qui hébergent, transfèrent ou traitent des données, la DSPM se concentre sur la protection directe des données. Notons cependant que la DSPM peut servir de complément à de nombreuses autres solutions de la pile de sécurité d’une organisation.

La plupart des technologies de sécurité protègent les données sensibles en empêchant tout accès non autorisé au réseau ou en détectant et en bloquant les comportements suspects ou malveillants des utilisateurs autorisés ou non autorisés, des interfaces de programmation des applications (API), de l’Internet des objets (IdO) ou d’autres entités.

Ces technologies ont amélioré la sécurité des données et la détection et la réponse aux menaces. Malheureusement, l’adoption effrénée du cloud computing, du développement agile du cloud natif, de l’intelligence artificielle (IA) et du machine learning (ML) a entraîné des risques et des vulnérabilités pour la sécurité des données que ces technologies ne prennent pas toujours en compte, ce qui peut exposer les organisations à des risques de violation des données et de conformité réglementaire.

Le risque principal qui pèse sur les données est celui des données cachées, c’est-à-dire des données sauvegardées, copiées ou répliquées dans un magasin de données qui n’est pas surveillé, géré ou régi par les mêmes équipes de sécurité, et auxquelles ne sont pas appliqués les mêmes contrôles de sécurité et les mêmes politiques de sécurité que les données originales. Par exemple, dans le cadre du développement et des tests itératifs, les équipes DevOps peuvent créer chaque jour de nouveaux magasins de données et y copier des données sensibles. Une seule mauvaise configuration peut rendre les données d’un ou de tous ces magasins plus vulnérables aux accès non autorisés.

La demande de données pour la modélisation IA ou ML peut également créer des données fantômes, car les entreprises ont tendance à « démocratiser » l’accès aux données, les nouveaux bénéficiaires étant souvent des utilisateurs qui comprennent la sécurité et la gouvernance des données de façon plus sommaire. Sans parler d’un autre facteur qui décuple les risques : l’adoption de plus en plus courante du multicloud (utilisation des services et des applications cloud de plusieurs fournisseurs) et du cloud hybride (infrastructure qui combine et orchestre des environnements cloud publics et privés).

Selon le Rapport sur le coût d’une violation de données 2025 d’IBM, 72 % des violations de données concernent des données stockées dans des environnements cloud, et 30 % des données piratées étaient stockées dans plusieurs types d’environnements informatiques, notamment les clouds privé, le clouds publics et les clouds hybride et sur site.

Les solutions DSPM localisent les données sensibles d’une organisation, évaluent leur posture de sécurité, corrigent leurs vulnérabilités conformément aux objectifs de sécurité et aux exigences de conformité de l’organisation, et mettent en œuvre des mesures de protection et de surveillance pour éviter la récurrence des vulnérabilités identifiées.

En règle générale, les solutions DSPM sont sans agent (ce qui signifie qu’elles ne nécessitent pas le déploiement d’une application logicielle distincte pour chaque ressource ou actif surveillé et protégé) et offrent un degré élevé d’automatisation.

Mis à part certains détails sur lesquels les experts peuvent avoir des avis divergents, la DSPM comporte quatre aspects principaux :

• Découverte de données

• Classification des données

• Évaluation des risques et priorisation

• La résolution et la prévention

Les fonctionnalités de découverte des données des solutions DSPM analysent en permanence les actifs sensibles, où qu’ils se trouvent. Ceci inclut l’analyse :

• des environnements sur site et dans le cloud (nuages publics, privés et hybrides)

• de tous les fournisseurs de cloud, par exemple Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud et Microsoft Azure, ainsi que les fournisseurs de Software-as-a-Service (SaaS) tels que Salesforce

• de tous les services cloud, par exemple, l’infrastructure en tant que service (IaaS), la plateforme en tant que service (PaaS) et la base de données en tant que service (DBaaS).

• de tous les types de données et de magasins de données (par exemple les données structurées et non structurées, le stockage cloud (stockage par fichiers, stockage par blocs et stockage d’objets) ou services de stockage associés à des services cloud, des applications cloud ou des fournisseurs de services cloud spécifiques.

En général, la classification des données se fait selon certains critères prédéfinis. Dans le contexte de la DSPM, la classification des données catégorise les données en fonction de leur niveau de sensibilité, en déterminant ce qui suit pour chaque actif de données :

• Le niveau de sensibilité des données : s’agit-il d’informations personnelles, confidentielles, liées à des secrets commerciaux, etc.
• Qui peut et doit être autorisé à accéder aux données.
• Comment les données sont stockées, traitées et utilisées
• Si les données sont soumises à des cadres réglementaires, par exemple la loi HIPAA (Health Insurance Portability and Accountability Act), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), le Règlement général sur la protection des données (RGPD) de l’UE, la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ou CCPA) et d’autres réglementations en matière de protection ou de confidentialité des données.

La DSPM identifie et hiérarchise les vulnérabilités associées à chaque actif de données. La DSPM recherche principalement les vulnérabilités suivantes :

Erreurs de configuration
Les erreurs de configuration sont des paramètres de sécurité manquants ou incomplets dans les applications ou le système, qui augmentent le risque d’accès non autorisé aux données d’une organisation. Le résultat le plus cité d’une mauvaise configuration est le stockage non sécurisé de données dans le cloud, mais les erreurs de configuration peuvent également créer des vulnérabilités telles que des correctifs de sécurité non appliqués et un échec du chiffrement des données. La mauvaise configuration est le risque le plus courant de sécurité des données dans le cloud et est une cause importante de perte ou de fuite des données.

Privilèges excessifs
Les privilèges excessifs donnent aux utilisateurs des autorisations d’accès aux données plus importantes que ce dont ils ont besoin pour accomplir leurs tâches. Les privilèges excessifs peuvent être le résultat d’une mauvaise configuration, mais ils peuvent également se produire si les autorisations des utilisateurs sont augmentées intentionnellement, par négligence ou par un acteur malveillant. Il peut également arriver que des autorisations censées rester temporaires ne soient jamais révoquées, même lorsque l’utilisateur n’en a plus besoin.

Problèmes de flux de données et de traçabilité des données
L’analyse des flux de données permet de connaître tous les endroits où les données ont été stockées et qui y avait accès. Combinée à des informations sur les vulnérabilités de l’infrastructure, l’analyse des flux de données peut révéler les chemins d’attaque potentiels vers des données sensibles.

Violations de la politique de sécurité et de la réglementation
Les solutions DSPM mappent les paramètres de sécurité existants des données avec les politiques de sécurité des données de l’entreprise et avec les exigences de sécurité des données imposées par tout cadre réglementaire auquel l’organisation est soumise, le but étant d’identifier les domaines dans lesquels les données ne sont pas protégées de manière adéquate et où l’organisation court un risque de non-conformité.

Les solutions DSPM fournissent des rapports et des tableaux de bord en temps réel qui classent les vulnérabilités en fonction de leur gravité, grâce auxquels les équipes de sécurité et de gestion des risques peuvent se concentrer sur la résolution des problèmes les plus critiques. De nombreuses solutions DSPM fournissent également des instructions de résolution étape par étape ou des protocoles de réponse aux incidents, qui permettent de résoudre tout risque relevant de la sécurité des données (risques potentiels et menaces en cours).

Certaines solutions DSPM automatisent les modifications apportées aux configurations des applications ou des systèmes, aux contrôles d’accès et aux paramètres logiciels de sécurité pour mieux vous protéger contre l’exposition potentielle des données. D’autres peuvent s’intégrer aux workflows des DevOps pour corriger les risques de sécurité potentiels dès le début des cycles de développement des applications.

Tous les DSPM surveillent en permanence l’environnement pour détecter de nouvelles données et vérifient continuellement si ces données présentent des risques potentiels pour la sécurité.

La gestion de la posture de sécurité du cloud (« Cloud security posture management » ou CSPM), est une technologie de cybersécurité qui automatise et unifie l’identification et la résolution des erreurs de configuration et des risques de sécurité dans les environnements et les services cloud hybrides et multicloud.

La CSPM ressemble à la DSPM, mais les deux diffèrent par leur objectif. La CSPM se concentre sur la recherche et la correction des vulnérabilités au niveau de l’infrastructure cloud, et plus particulièrement dans les unités de traitement (telles que les machines virtuelles ou les conteneurs) et les implantations PaaS. La DSPM se concentre sur la recherche et la correction des vulnérabilités au niveau des données.

Plus les entreprises généralisent leur adoption du cloud, plus elles auront besoin des deux : la CSPM pour limiter ou empêcher tout accès non autorisé aux actifs de l’infrastructure cloud, et la DSPM pour limiter ou empêcher l’accès non autorisé aux données qu’ils contiennent.

La DSPM peut être intégrée à d’autres outils de sécurité, notamment pour améliorer la posture de sécurité des données d’une entreprise, ainsi que ses capacités de détection, de prévention et de réponse aux menaces en général.

La gestion des identités et des accès (IAM) gère les identités des utilisateurs et les autorisations d’accès, le but étant que seuls les utilisateurs et appareils autorisés puissent accéder aux ressources dont ils ont besoin, pour les bonnes raisons et au bon moment. En intégrant la DSPM et l’IAM, les équipes de sécurité peuvent automatiser les modifications apportées aux autorisations d’accès pour mieux protéger les données sensibles de leur organisation.

La détection et réponse des terminaux (EDR) utilise des outils analytiques en temps réel et l’automatisation pilotée par l’IA pour surveiller et sécuriser les terminaux. Elle aide en outre à prévenir les cybermenaces qui parviennent à passer la barrière des logiciels antivirus et d’autres technologies traditionnelles de sécurité des terminaux. L’intégration de la DSPM et de l’EDR permet d’assurer la cohérence entre les politiques d’une entreprise (politique de sécurité des terminaux, politique de sécurité des données et politique de conformité).

La gestion des informations et des événements de sécurité (SIEM) collecte des données de journal liées à la sécurité et d’autres informations provenant de toute l’entreprise. Elle corrèle et analyse ensuite ces données pour aider les équipes de sécurité à détecter les menaces et à rationaliser ou à automatiser les réponses aux incidents. La DSPM peut ingérer des données SIEM afin d’obtenir un contexte et des informations supplémentaires sur la posture de sécurité des actifs de données.

La prévention des pertes de données (DLP) aide les entreprises à prévenir les fuites de données, l’exfiltration des données (vol de données) et la perte de données en suivant les données du réseau et en appliquant des politiques de sécurité granulaires. L’intégration de la DSPM et de la DLP peut enrichir l’analyse des flux de données de la DSPM pour identifier plus précisément les risques de sécurité des données et les voies d’attaque des données sensibles.