Des leaders du secteur nous ont contactés pour nous faire part de leur point de vue sur l'évolution du lieu de travail et sur ce que cela signifie pour la confidentialité des données.
L'évolution du lieu de travail et les nouvelles technologies entraînent des changements dans la gestion de la confidentialité.
Avi Raichel, vice-président de Zerto GTM, une société de Hewlett Packard Enterprise, se penche sur le risque et ne voit pas de solution unique :
"La Journée de la confidentialité des données est un rappel essentiel que la confidentialité et la protection des données sont des questions de plus en plus difficiles et que les organisations n'ont d'autre choix que de les prendre au sérieux. Les attaques de ransomwares sont là pour rester car elles continuent d'augmenter en volume et en gravité et alors que les cybercriminels continuent de développer de nouvelles méthodes inattendues pour chiffrer les données. On estime que d'ici 2031, les rançongiciels devraient attaquer une entreprise, un consommateur ou un appareil toutes les deux secondes.
"Selon une étude d'IDC, 95,1 % des entreprises ont subi une attaque malveillante au cours des 12 derniers mois et 43 % d'entre elles ont subi une perte de données irrécupérables, ce qui prouve les effets dévastateurs des ransomwares et autres cyberattaques. Les entreprises doivent comprendre que la protection de vos données contre les rançongiciels ne dépend plus de votre capacité à récupérer, mais plutôt de la rapidité avec laquelle vous pouvez remettre votre entreprise en marche.
"Étant donné qu'aucune solution unique ne peut offrir une protection contre les attaques de ransomware avec une certitude à 100 %, disposer d'une solution de reprise après sinistre et de sauvegarde basée sur la protection continue des données (CDP) offre aux entreprises la capacité d'être résilientes face à des circonstances potentiellement catastrophiques. Les entreprises utilisant CDP peuvent reprendre leurs activités à grande échelle en quelques minutes et retrouver un état quelques secondes avant une attaque. En fin de compte, la protection continue des données remettra le pouvoir entre les mains des organisations qui sont préparées. »
Geoff Bibby, vice-président directeur de la stratégie des petites et moyennes entreprises et des consommateurs chez OpenText, pense qu'il est trop facile pour les organisations d'ignorer les risques inhérents au partage de fichiers :
"Une autre activité courante que beaucoup ne considèrent pas comme risquée est le partage de fichiers. Souvent, lorsqu'un fichier est trop volumineux pour être partagé en toute sécurité par e-mail, beaucoup utilisent à la place une plate-forme de partage de fichiers simple et pratique qui fait partie de leur flux de travail actuel, comme Google Drive, un compte de partage de fichiers personnel comme Box, ou envoie simplement les fichiers via Zoom. discuter. Cela entraîne un risque accru de logiciels malveillants, de piratage et de perte ou d'exposition d'informations sensibles. Les organisations doivent souligner l'importance de partager des fichiers en toute sécurité avec leurs employés et d'utiliser des solutions qui permettent un partage de fichiers simple et sécurisé.
"Les organisations doivent également prendre l'habitude de déployer des audits de sécurité réguliers pour identifier les vulnérabilités et autres comportements suspects, leur permettant de s'assurer que les données sensibles sont régulièrement sauvegardées. La sauvegarde des données garantit aux entreprises et aux particuliers l'accès aux versions actuelles des données critiques et peut maintenir l'activité en cas d'attaque.
Le travail à distance qui est devenu de plus en plus la norme pendant la pandémie présente également des défis pour la confidentialité des données. Mike Wood, CMO chez Versa Networks, a écrit :
"Suite au passage explosif à l'approche du travail depuis n'importe où au cours des deux dernières années, les employés, la technologie et les données des organisations sont répartis dans un nombre illimité d'endroits à travers le monde. À cela s'ajoute notre demande toujours croissante d'être connecté à tout et à tout le monde tout le temps, ce qui a entraîné une poussée des technologies émergentes telles que la 5G et l'IoT. Malgré l'adoption rapide de la 5G, de l'IoT et d'autres nouvelles technologies, leur popularité dépasse de loin leur sécurité. Les attaques zero-day constituent une énorme menace pour les applications IoT et 5G. De plus, la 5G n'est pas un réseau privé, donc lorsque des appareils IoT y sont connectés, la surface d'attaque s'étend, et eux et les données qu'ils stockent deviennent vulnérables. En peu de temps que la 5G a été déployée à l'échelle mondiale, elle est devenue un composant naturel des appareils IoT et est également dans la position idéale pour aider à transformer les réseaux d'entreprise et l'interconnexion des environnements d'infrastructure, qu'ils soient sur site, en cloud hybride ou multi-cloud. Cependant, en tant que marché, il n'a pas fait l'objet de suffisamment de recherches pour que les experts aient confiance en sa sécurité. Bien que la commodité, la connectivité et la flexibilité soient essentielles à notre environnement de travail actuel, la sécurité de nos appareils et la confidentialité de nos données devraient également l'être.
Dottie Schindlinger, directrice exécutive, Diligent Institute, a également souligné les implications de la nature changeante du lieu de travail sur la confidentialité des données :
"Le lieu de travail d'aujourd'hui n'est plus limité aux définitions ou aux frontières traditionnelles. Les entreprises s'adaptent constamment à de nouveaux modèles de travail et explorent des moyens innovants pour les adapter aux besoins de leur organisation. L'adoption d'outils de collaboration a explosé alors que les entreprises tentent de s'assurer que la productivité et l'efficacité restent élevées, que ce soit dans un environnement de travail à distance, au bureau ou hybride.
"Beaucoup de ces outils sont des solutions à usage général qui répondent assez bien aux exigences de communication et de collaboration des employés. Mais ils peuvent ne pas convenir à la couche supérieure de votre organisation - le conseil d'administration et la direction.
"Les conseils d'administration et les dirigeants traitent des informations qui sont souvent très sensibles et qui, par conséquent, ont des coûts d'exposition plus élevés. Pensez aux répercussions réputationnelles, juridiques et financières si un document classifié fuit parce qu'il a été partagé par des dirigeants sur un outil de communication à usage général. L'impact pourrait être catastrophique. De plus, les cyberattaques récentes ont mis en évidence, non seulement pour les actionnaires, mais pour toutes les parties prenantes, l'importance de protéger les données les plus sensibles d'une organisation. Les outils de collaboration à usage général ne sont pas en mesure d'offrir le niveau de protection attendu par les parties prenantes.
"Les organisations ont besoin d'environnements et de flux de travail sécurisés qui permettent au conseil d'administration et aux dirigeants de communiquer des informations hautement sensibles en toute sécurité, sans craindre qu'elles ne soient accidentellement mal acheminées, transmises, divulguées ou même volées. De plus, le système doit être intuitif et pratique, afin que les cadres restent dans ses flux de travail et ses processus sans s'égarer vers d'autres systèmes et créer des failles de sécurité."
Chad McDonald, directeur du personnel et RSSI de Radiant Logic, considère que la prolifération contribue au défi de la protection de l'identité :
"Avec le nombre de cyberattaques qui augmente considérablement pendant la pandémie, les organisations doivent mettre en place des mesures qui peuvent arrêter la prolifération des identités en s'assurant qu'elles disposent d'un profil mondial unifié qui possède tous les attributs d'un utilisateur, quelle que soit la source dans laquelle il se trouve. Organisations qui ne parviennent pas à gérer les données d'identité subiront d'autres violations de données, car les acteurs de la menace savent que les données ne sont pas sécurisées et faciles à obtenir. Bien que cela semble être un problème compliqué à résoudre, cela peut être facilement fait grâce à Identity Data Fabric.
Ryan Abraham, CISO virtuel de Wisetail, a écrit pour attirer l'attention sur la responsabilité particulière des professionnels des ressources humaines en matière de confidentialité des données :
"La confidentialité des données est extrêmement importante dans le secteur des RH. Les professionnels des RH se voient confier les données sensibles des employés (numéros de sécurité sociale, numéros de téléphone, adresses personnelles, etc.). Il est donc essentiel que chaque entreprise prenne les mesures appropriées pour garantir la sécurité des données.
"Une étape importante ici consiste à certifier votre organisation comme étant conforme à la norme SOC 2. SOC 2 est basé sur cinq facteurs - sécurité, disponibilité, intégrité du traitement, confidentialité, confidentialité - et la certification indique aux utilisateurs que votre organisation maintient un niveau élevé de sécurité des informations et gère leurs données de manière responsable. De plus, la conformité SOC 2 garantit que votre organisation a mis en place des pratiques de sécurité pour se défendre contre les cyberattaques et les violations.
"Une autre excellente façon d'honorer la Journée de la confidentialité des données cette année est de commencer une formation régulière des employés sur les meilleures pratiques en matière de confidentialité des données, qui peut être facilement créée et attribuée à votre équipe via une plateforme d'expérience d'apprentissage (LXP). Ces formations peuvent éduquer les employés sur la façon de repérer une attaque de phishing, de créer des mots de passe forts, d'éviter les sites Web suspects et dangereux, et plus encore. Vos employés sont votre première ligne de défense contre les menaces à la confidentialité des données, il est donc essentiel qu'ils soient équipés pour assurer leur sécurité et celle de votre entreprise.
Carl D'Halluin, CTO chez Datadobi, prend acte des évolutions technologiques, et en particulier de l'importance et de l'utilisation croissantes des données non structurées. Cela entraîne des défis particuliers :
"Personne ne peut nier que les données non structurées connaissent une croissance exponentielle. Avec la création d'une telle quantité de données, un large éventail de nouveaux outils et processus de gestion pour les superviser ont émergé - de la disponibilité mondiale des données, de la protection des données, de l'archivage des données, etc. Dans ce monde multi-fournisseurs et multi-plateformes allant du sur site au cloud, on ne peut nier que les logiciels de gestion, de visibilité et de reporting sont indispensables pour qu'une entreprise fonctionne efficacement et optimise ses revenus. Il appartient aux administrateurs informatiques et à leurs équipes de se charger de la tâche importante de protéger son arsenal de données contre les menaces en choisissant le bon logiciel de gestion des données.
"Pour protéger les données, les organisations doivent utiliser une plate-forme qui comprend quelles données sont stockées où, quelles données doivent être déplacées, être en mesure de déplacer ces données et garantir la validité de ces données lorsqu'elles sont déplacées. À l'occasion de la Journée de la confidentialité des données de cette année, je voudrais lancer un appel à l'action pour que les organisations de tous les secteurs réévaluent la plate-forme de gestion des données qu'elles utilisent afin de se protéger au mieux contre les menaces modernes d'aujourd'hui.
Amit Shaked, PDG de Laminar, considère que le cloud nécessite de nouvelles approches en matière de protection des données :
Brian Pagano, Chief Catalyst et VP chez Axway, convient qu'il n'y a pas de solution unique :
"Il n'existe pas de solution unique pour optimiser la confidentialité des données. Le cloud a les mêmes problèmes concernant les données en mouvement (vous devez obtenir des données vers et depuis le cloud) et les données au repos (stocker des informations dans le cloud). Ce que le cloud vous offre, c'est une sécurité physique et numérique de niveau industriel du fournisseur de cloud. C'est donc une bonne étape, un élément de la solution.
Il ajoute également quelques recommandations pour le nouvel environnement :
"Abandonnez la vieille foi dans les mots de passe. Vous pouvez savoir si un service informatique n'évolue pas si vous êtes obligé de changer fréquemment votre mot de passe (cette pratique s'est avérée diminuer la sécurité et a été largement abandonnée). La confidentialité des données implique des données au repos et des données en mouvement, car elles garantissent principalement que quiconque tente d'accéder aux informations dispose des droits appropriés sur ces données. Si la confidentialité est une préoccupation majeure, l'organisation doit adopter une vérification du besoin de savoir pour tout document. Prouvez que vous avez besoin de ces informations. Tenez des journaux et auditez-les au hasard. Ceci est similaire à la posture d'Apple. Pour les nouvelles entreprises, une communication ouverte et rapide est souvent plus importante qu'une confidentialité absolue. Rappelez simplement aux membres de l'équipe que tout ce qui est écrit peut apparaître en public, alors réfléchissez avant de taper.
"Les entreprises doivent adopter des solutions personnalisées pour leurs exigences en matière de confidentialité des données. Ne copiez pas aveuglément ce que fait une autre entreprise (ou organisation). Vous n'êtes pas eux. Vos besoins ne sont pas leurs besoins. Le niveau de confidentialité dont vous avez besoin est de soutenir la mission de votre organisation, pas de l'entraver. Alors, commencez par vous demander ce dont vous avez besoin et ce qui soutiendra la mission.
"API et confidentialité des données. Les API sont la porte d'entrée essentielle de votre entreprise. C'est la couche idéale pour ajuster, vérifier et faire respecter les droits aux informations demandées. »
Daniel Markuson, expert en confidentialité numérique chez NordVPN, souligne que savoir qu'il y a un problème n'est au mieux qu'un début :
"La Journée de la confidentialité des données vise à sensibiliser aux questions de confidentialité, cependant, la sensibilisation n'a aucun sens si elle ne se transforme pas en action. La protection de votre vie privée consiste à créer des habitudes, comme faire des efforts supplémentaires pour créer des mots de passe forts, ne pas cliquer sur des liens inconnus ou télécharger des fichiers non vérifiés, désactiver le Wi-Fi & Bluetooth lorsqu'ils ne sont pas utilisés et, dans l'ensemble, rester attentif lors de la navigation en ligne. Bien que cela puisse sembler fastidieux, il existe des outils qui peuvent rendre la protection de votre vie privée beaucoup plus facile. Un VPN cache vos informations personnelles, les gestionnaires de mots de passe protègent vos identifiants & générer des mots de passe forts, tandis que les outils de cryptage de fichiers vous permettent d'accéder à vos fichiers.
Shekkar Ayyar, PDG d'Arrcus, prévient que le Web 3.0 arrive et apportera de nouveaux défis :
"Les applications Web 3.0 telles que le métaverse et le défi qui sont basées sur la réalité augmentée/réalité virtuelle et la blockchain étendent les exigences d'échelle et de performances de l'infrastructure réseau sous-jacente. Aujourd'hui, Internet repose sur un maillage global complexe de nœuds de routage et de commutation, pris en charge par des technologies telles que BGP ou Border Gateway Protocol. Comme le démontrent les récentes pannes chez AWS et Facebook, le risque de défaillance du réseau est élevé chaque fois qu'une intervention manuelle est impliquée. Une pratique exemplaire essentielle que nous recommandons chez Arrcus est l'adoption d'une automatisation intelligente, basée sur l'analyse du réseau, des opérations du routeur pour gérer la correction des pannes et la détection des erreurs de configuration.
Danny Lopez, PDG de Glasswall, rappelle aux entreprises qu'elles ne peuvent pas négliger l'élément humain :
"La Journée de la confidentialité des données rappelle l'importance de l'élément humain dans le monde de la cybersécurité. Sans une bonne compréhension des risques de confidentialité en ligne, les organisations peuvent se retrouver sans défense contre les pirates.
« Selon le rapport IBM Cost of a Data Breach Report 2022, les identifiants volés sont le vecteur d'attaque le plus courant, entraînant 20 % des violations coûtant en moyenne 4,37 millions de dollars. En outre, le rapport Verizon 2021 Data Breach Investigations indique que les attaques de phishing ont augmenté de 11 % l'année dernière, les cybercriminels ajustant leurs escroqueries pour s'adapter aux événements actuels et attirer l'attention.
"La solution pour repousser les cyberattaques, tant au niveau individuel qu'au niveau de l'entreprise, est double : la formation et la technologie. La formation armera les employés pour qu'ils soient attentifs aux risques et suivent les meilleures pratiques. Cela peut être aussi simple que d'utiliser des mots de passe forts et une authentification multifacteur, de ne pas ouvrir de liens et/ou de pièces jointes provenant de sources inconnues et d'utiliser un logiciel antivirus.
"Sur le plan technologique, adopter une approche proactive de confiance zéro (ne jamais faire confiance/toujours vérifier) en matière de sécurité peut non seulement protéger les entreprises qui les mettent en œuvre, mais également leurs clients. La mise en place de ces mesures aidera non seulement à prévenir les attaques, mais c'est aussi plus rentable et efficace que d'utiliser les employés comme première ligne de défense d'une organisation. En combinant formation et technologie, la confidentialité des données des individus, des entreprises et des clients est beaucoup plus réalisable pour les organisations du monde entier.
Il y a un facteur humain à prendre en compte, bien sûr, mais il y a aussi un facteur bot, comme le souligne David Higgins, directeur technique chez CyberArk :
"Il n'y a pas que les humains qui sont susceptibles de cliquer sur le mauvais lien ou qui sont peut-être un peu trop cavaliers sur ce qu'ils partagent sur eux-mêmes. Les robots logiciels ont également des problèmes de partage, et cette Journée de la confidentialité des données, nous soulignons comment nous pouvons mieux protéger les données auxquelles ils accèdent contre l'exposition.
"Les bots logiciels - de petits morceaux de code qui effectuent des tâches répétitives - existent en grand nombre dans les organisations du monde entier, dans les banques, le gouvernement et tous les autres grands secteurs verticaux. L'idée derrière eux est qu'ils libèrent du personnel humain pour travailler sur des tâches critiques, cognitives et créatives, mais contribuent également à améliorer l'efficacité, la précision, l'agilité et l'évolutivité. Ils sont une composante majeure de l'entreprise numérique.
"Le problème de confidentialité survient lorsque vous commencez à réfléchir à ce dont ces bots ont besoin pour qu'ils puissent faire ce qu'ils font. La plupart du temps, c'est un accès : s'ils rassemblent des données médicales sensibles et personnelles pour aider les médecins à faire des prédictions cliniques éclairées, ils doivent y avoir accès. S'ils ont besoin de traiter des données client stockées sur un serveur cloud public ou un portail Web, ils doivent y accéder.
"Nous avons vu les problèmes qui peuvent survenir lorsque les humains sont compromis et la même chose peut arriver aux bots - et à grande échelle. Si les bots sont mal configurés et codés, afin qu'ils puissent accéder à plus de données qu'ils n'en ont besoin, la sortie peut divulguer ces données vers des endroits où elles ne devraient pas être.
"De même, nous entendons parler d'attaques d'initiés et d'humains compromis pour accéder à des données sensibles presque quotidiennement. Les machines ont exactement les mêmes problèmes de sécurité ; s'ils peuvent accéder à des données sensibles et qu'elles ne sont pas correctement sécurisées, c'est une porte ouverte pour les attaquants - une porte qui peut mettre en danger la vie privée des individus. Les attaquants ne ciblent pas les humains pour accéder aux données, ils ciblent simplement les données. Si les machines - en particulier celles en charge des processus automatisés (pensez aux tâches répétables comme les virements bancaires, le grattage des données Web et le déplacement des fichiers de données clients) sont la meilleure voie à suivre pour y accéder, c'est celle qu'elles choisiront.
Les bots sont nos créations, et il n'est pas surprenant qu'ils aient hérité de nos faiblesses. (Et ils exercent certaines de ces faiblesses à une échelle que les plus débauchés d'entre nous ne peuvent qu'envier.)
Kurt Glazemakers, directeur de la technologie chez Appgate, affirme qu'en ce qui concerne la confidentialité, le VPN a été une épée à double tranchant :
"Il ne fait aucun doute que le VPN a joué un rôle important dans l'évolution d'Internet. Cependant, alors que nous approchons d'une autre journée de protection des données après avoir été témoins de plus de violations de données et de cyberattaques au cours de l'année écoulée, il est temps de reconnaître que le VPN a également joué un rôle en fournissant aux organisations des failles de sécurité et des vulnérabilités qui les exposent aux attaques et par la suite, vol de données.
"Bien sûr, un exemple récent du danger des VPN est le tristement célèbre piratage du VPN Fortinet en septembre de l'année dernière, où la vulnérabilité du VPN a permis à des attaquants non authentifiés de lire des fichiers arbitraires contenant des informations d'identification en clair. Les informations d'identification divulguées pourraient (et peuvent toujours) être utilisées comme vecteur d'entrée pour des attaques plus complexes. Par exemple, l'attaque Colonial Pipeline de l'année dernière a utilisé des informations d'identification compromises pour une appliance VPN héritée. De toute évidence, les VPN laissent la porte ouverte aux cybercriminels pour exploiter ses vulnérabilités, accéder au réseau et voler des informations d'identification et d'autres éléments de données précieux.
"Alors, quelle est la réponse et existe-t-il une meilleure solution ? L'accès au réseau Zero Trust (ZTNA), avec son approche « authentification, puis confiance », par opposition à la confiance des VPN dans les adresses IP, devient un choix de plus en plus courant parmi les entreprises. Le principe est même privilégié par des organismes comme le Pentagone qui a lancé un bureau de cybersécurité de confiance zéro en décembre 2021. En adoptant ZTNA, les organisations peuvent limiter les dégâts d'une éventuelle perte de données et aider les entreprises à se rétablir rapidement après un incident. L'approche comble les lacunes laissées par une technologie obsolète qui ne protège plus les entreprises des outils en évolution utilisés par les cybercriminels modernes.
"Afin de détecter un intrus et de protéger leurs données, les entreprises doivent appliquer des politiques de confiance zéro, notamment en segmentant les réseaux et en supposant que toutes les connexions peuvent être compromises. La confiance zéro doit être mise en œuvre dans l'infrastructure de base et les organisations doivent profiler tout appareil essayant de se connecter au réseau, utiliser l'authentification multifacteur pour s'assurer que les informations d'identification ne sont pas compromises et, plus important encore, ne fournir l'accès aux données qu'en fonction de ce qu'un utilisateur ou un système doit.
"Nos données sont l'une de nos ressources les plus précieuses et les cybercriminels le savent. En mettant en œuvre des politiques de confiance zéro, les organisations peuvent s'assurer que les informations d'identification de leurs employés et les données de leurs clients sont sécurisées et protégées des regards indiscrets et vigilants de la communauté cybercriminelle.
Enfin, Anastasios Gkouletsos, responsable de la sécurité informatique chez Omnipresent, propose cinq mesures de sécurité que l'industrie peut appliquer pour protéger et maintenir les informations et données personnelles des clients et des employés :