Les données au repos sont des données à risque. Atténuez les risques grâce à une sécurité centrée sur les données
Atténuation des risques liés aux données… le besoin en est en augmentation aux États-Unis et dans le monde entier. Pensez à cet exemple. Vous êtes chez vous en train d'ouvrir votre courrier et vous avez une nouvelle carte de crédit brillante de votre compagnie de carte de crédit. Il n'y a pas d'informations réelles autres que "vos informations pourraient avoir été à risque, et pour éviter le vol, nous vous avons émis une nouvelle carte".
Au cours des dernières années, le vol d'informations personnellement identifiables (IPI) a augmenté. Plus d'un Américain sur quatre a vu ses informations personnelles perdues ou volées. Il n'y a pas que les individus qui sont à risque. Depuis 2005, le Privacy Rights Clearinghouse a fait la chronique de signalés les violations des données des clients, des patients et des employés (y compris les numéros de carte de crédit, les numéros de sécurité sociale, les dates de naissance, etc.), la propriété intellectuelle et d'autres documents importants exposés par la perte, le vol, le piratage, etc. C'est pourquoi l'atténuation des risques liés aux données est une considération cruciale dans les efforts de planification des activités d'une entreprise.
Considérez les cas suivants (un sur BEAUCOUP par an) où des données ont été compromises, et comment elles pourraient vous concerner ou votre entreprise :
- En 2014, sur les 331 violations de données signalées, six ont dépassé 10 millions (m) d'enregistrements. Le plus important était eBay, qui comptait plus de 145 millions d'adresses e-mail, de mots de passe, de dates de naissance et d'adresses d'utilisateurs piratés à partir d'une base de données.
- En 2015, les données personnelles de 191 millions d'électeurs américains ont été trouvées dans une base de données accessible au public, 15 millions d'enregistrements de crédit de clients de T-Mobile ont été exposés, des pirates ont volé plus de 10 millions d'enregistrements à Sony Pictures et 37 enregistrements ont été volés sur le site d'Ashley Madison. .
- En 2016, 1,5 milliard d'enregistrements de connexion ont été volés sur Yahoo lors de 2 incidents précédents, 412 millions sur Friend Finder, 360 millions sur MySpace, 43,4 millions sur Weebly, 32 millions sur Twitter et 22,5 millions sur Foursquare.
- En 2017, une base de données cloud Deep Root Analytics de plus de 198 millions d'utilisateurs votants s'est avérée non protégée, River City Media a par inadvertance exposé 1,37 milliard d'adresses e-mail et d'autres données dans une archive de sauvegarde.
- En 2018, les informations personnelles et biométriques de 1,1 milliard de résidents indiens ont été exposées lorsqu'un portail gouvernemental a eu une fuite. Les informations sur 340 millions de personnes étaient vulnérables sur un serveur public Exactis et 150 millions de détails d'utilisateurs de l'application MyFitnessPal ont été piratés. Cette année-là a également été l'année d'embarras similaires pour Facebook/Cambridge Analytica, GooglePlus, Cathay Pacific, T-Mobile et Marriott.
- En 2019, un forum de piratage a partagé l'accès à une base de données cloud contenant, ironiquement, 773 millions d'adresses e-mail déjà piratées et 22 millions de mots de passe uniques. Une base de données de la liste de surveillance de Down Jones a révélé 2,4 millions de dossiers d'identité d'hommes politiques et de responsables gouvernementaux internationaux.
Source :https://www.privacyrights.org/data-breach
Ce ne sont là que quelques exemples illustrant pourquoi il est impératif de protéger les données sensibles là où elles résident. Des pratiques de sécurité de base doivent être suivies pour assurer la protection des données à plusieurs points d'entrée, de contrôle et de sortie. En effet, les entreprises doivent garantir que leurs systèmes d'information ne sont pas une cible ouverte, et elles doivent protéger les IPI de manière appropriée tout au long de leur cycle de vie. Cela signifie exercer une combinaison de personnes, de processus et de mesures procédurales qui exploitent les technologies à la fois pour les terminaux et ce que l'IRI appelle la "sécurité des points de départ".
Ce sont les exigences de protection du point de départ centré sur les données (a/k/a masquage des données) qui ont incité IRI à développer une fonctionnalité pour trouver et anonymiser les PII dans les fichiers et les bases de données. Pour cette raison, IRI propose FieldShield pour rechercher et protéger les données à risque jusqu'au niveau du champ dans les tables et les fichiers plats. IRI a ensuite développé CellShield pour rechercher, classer et masquer les PII dans plusieurs feuilles de calcul Excel à la fois, et DarkShield pour faire de même dans les fichiers texte, document et image non structurés.
FieldShield, CellShield et DarkShield offrent aux utilisateurs le choix - pour chaque élément de PII (ou classe de données) - d'AES, GPG ou d'autres bibliothèques de chiffrement, la suppression des données (par exemple, rendre un numéro de carte de crédit illisible à l'exception des 4 derniers chiffres) et de- identification (par exemple, séparation ou pseudonymisation d'informations sensibles dans les dossiers médicaux), hachage, etc.… jusqu'à 14 catégories fonctionnelles de protection différentes dans le cas de FieldShield.
Ces fonctions peuvent être appliquées aux champs de plusieurs sources de données via des flux de travail automatiques pilotés par des assistants, et peuvent également être appelées de manière transparente dans les opérations d'entreposage de données, de migration de données/DB, de MDM et de préparation de rapports/analyses de données dans la plate-forme de gestion de données IRI Voracity. Des assistants de recherche et de classification de données granulaires, des fonctions de sécurité au niveau du terrain, des rapports de détermination des risques de réidentification et des journaux de travail (audit) XML automatiques, aident les organisations à atténuer les risques liés aux données, à se conformer aux réglementations internes et gouvernementales en matière de confidentialité et à fournir des données de test sûres et réalistes pour DevOps et plus encore.
