A l’occasion de la onzième édition du Data Privacy Day le 28 janvier, un malheureux constat s’impose : alors que les entreprises ne cessent d’accroître leurs investissements dans la cyber sécurité, la protection de leurs données sensibles restent plus que jamais au centre de leurs préoccupations. Et les récents piratages de masse révélés dans la presse internationale ne font rien pour inverser cette tendance. Plus grave encore, selon une récente étude, plus d’un dirigeant d’entreprise sur trois pense que les inquiétudes liées à la sécurité des données sont devenues un véritable inhibiteur de croissance.
Il est vrai que préserver la sécurité des données n’a jamais exigé autant d’efforts : protection des postes de travail, nouvelles menaces APT, chiffrement des données, réseaux privés virtuels, etc., la liste continue de s’allonger. Mais plus inquiétant encore, le coût de la sécurité peut aller rapidement au-delà du simple investissement dans les mesures de protection, et conduire certaines organisations à paralyser leur esprit d’innovation, ou encore renoncer à un avantage concurrentiel ou à des projets d’expansion internationale. Dès lors, comment inverser cette tendance ?
L’humain est devenu le vecteur d’attaque le plus dangereux …
Les tactiques d’attaque contre les organisations ont largement évolué. Alors que les technologies de sécurité n’ont cessé de se sophistiquer, reste le maillon faible. Les employés, les fournisseurs, les partenaires des entreprises sont désormais les clés pour accéder aux données sensibles, et il est devenu plus facile et rapide de leurrer un individu que de pénétrer sur un réseau. L’identité est ainsi devenue le principal vecteur d’attaque pour les pirates et l’interne.
Malgré cela, l’approche de la sécurité de la majorité des employés n’a pas changé. Ils attendent de leur entreprise qu’elle protège leurs précieuses données, mais ils ne changent pas eux-mêmes leurs habitudes en la matière. Ils continuent de négliger la sécurité de leurs mots de passe, et de contourner des mesures de sécurité mises en place par leur entreprise. Ainsi, 65% des employés utilisent le même mot de passe pour toutes leurs applications, et 33% d’entre eux utilisent des applications cloud sans que leur entreprise en soit informée.
… et le travail en mobilité complique encore l’équation
De plus, avec les technologies actuelles, il n’est plus nécessaire pour les employés de rester physiquement au même endroit pour collaborer avec leurs collègues. Tous les professionnels ont désormais accès aux applications et aux données à partir d’une variété de terminaux, y compris personnels, où qu’ils soient. En multipliant les applications par leurs utilisateurs, des entreprises peuvent facilement avoir plusieurs millions de points d’accès, et chacun d’entre eux est un point d’exposition potentiel pour un attaquant.
Le pouvoir de l’identité
Comment aller de l’avant tout en contrôlant efficacement toutes ces menaces bien réelles ?
Comment pour les entreprises faire de la sécurité non plus un inhibiteur mais un catalyseur de croissance ?
La gouvernance des identités, qui permet de sécuriser les accès aux données et aux applications en connaissant et en contrôlant qui a accès à quoi, donne aux organisations le pouvoir de construire une nouvelle architecture de sécurité centrée sur les utilisateurs et leur accès aux données. En partant de la source des informations et en se concentrant sur la cible la plus facile pour elles – leurs employés, les entreprises peuvent dès à présent trouver les moyens de continuer à innover et à s’investir dans de nouvelles initiatives, tout en apaisant leurs craintes.
Grâce à la puissance de la gouvernance des identités, elles pourront ainsi sans risque ouvrir leur périmètre de sécurité et préserver la liberté d’action de leurs employés. En clair, en mettant l’identité au centre de leur stratégie de sécurité, elles parviendront à contrôler tous les accès à leurs applications sur site et dans le cloud en maîtrisant tous les risques associés.
En mettant en place une solution robuste de gouvernance des identités – capable de prendre en compte à la fois les données structurées et non structurées, les entreprises pourront regarder vers l’avenir, tout en éloignant la crainte d’un piratage de données. Un bon moyen de célébrer le Data Privacy Day.