La sécurité des données est le processus qui consiste à protéger les données de l'entreprise et à empêcher leur perte par un accès non autorisé. Il s'agit de protéger vos données contre les attaques susceptibles de les crypter ou de les détruire, comme les rançongiciels, ainsi que contre les attaques susceptibles de les modifier ou de les corrompre. La sécurité des données garantit également que les données sont disponibles pour toute personne de l'organisation qui y a accès.
Certains secteurs d'activité exigent un niveau élevé de sécurité des données pour se conformer aux réglementations en matière de protection des données. Par exemple, les organisations qui traitent les informations relatives aux cartes de paiement doivent utiliser et stocker ces données de manière sécurisée, et les organisations de santé doivent sécuriser les informations de santé privées .
Mais même si votre organisation n'est pas soumise à une réglementation ou à une norme de conformité, la survie d'une entreprise moderne dépend de la sécurité des données, qui peut avoir un impact à la fois sur les actifs clés de l'organisation et sur les données privées appartenant à ses clients.
Les dommages causés par une violation de données s'élevent à plusieurs millions de dollars. Ce qui signifie qu'au-delà des pertes financières, la plupart des incidents entraînent une perte de confiance des clients et une atteinte à la réputation.
Les poursuites judiciaires, les règlements et les amendes liés aux violations de données sont également en augmentation, et de nombreux gouvernements ont introduit des réglementations plus strictes en matière de confidentialité des données. Les consommateurs ont des droits beaucoup plus étendus, notamment dans l'UE, en Californie et en Australie, avec l'introduction du GDPR, du CCPA, de l'APP et du CSP234.
Au cours de la dernière décennie, l'ingénierie sociale, les ransomwares et les menaces persistantes avancées (APT) sont en augmentation. Il s'agit de menaces contre lesquelles il est difficile de se défendre et qui peuvent causer des dommages catastrophiques aux données d'une organisation.
Il n'y a pas de solution simple à la sécurité des données - ajouter une autre solution de sécurité ne résoudra pas le problème. Les équipes chargées de l'informatique et de la sécurité de l'information doivent réfléchir de manière active et créative aux défis que pose la protection des données et coopérer pour améliorer leur posture de sécurité. Il est également essentiel d'évaluer le coût des mesures de sécurité actuelles, leur contribution à la sécurité des données et le retour sur investissement attendu d'investissements supplémentaires.
La confidentialité des données est la distinction entre les données d'un système informatique qui peuvent être partagées avec des tiers (données non privées) et les données qui ne peuvent pas être partagées avec des tiers (données privées). L'application de la confidentialité des données comporte deux aspects principaux :
Le contrôle d'accès - s'assurer que toute personne qui tente d'accéder aux données est authentifiée pour confirmer son identité, et autorisée à accéder uniquement aux données auxquelles elle est autorisée à accéder.
La protection des données - garantir que même si des parties non autorisées parviennent à accéder aux données, elles ne peuvent pas les consulter ou les endommager. Les méthodes de protection des données assurent le cryptage, qui empêche quiconque de visualiser les données s'il ne dispose pas d'une clé de cryptage privée, et les mécanismes de prévention des pertes de données qui empêchent les utilisateurs de transférer des données sensibles en dehors de l'organisation.
La sécurité des données a de nombreux points communs avec la confidentialité des données. Les mécanismes utilisés pour garantir la confidentialité des données font également partie de la stratégie de sécurité des données d'une organisation.
La principale différence réside dans le fait que la confidentialité des données vise principalement à préserver leur caractère confidentiel, tandis que la sécurité des données vise principalement à les protéger contre les activités malveillantes. Par exemple, le cryptage peut être une mesure suffisante pour protéger la vie privée, mais peut ne pas l'être pour la sécurité des données. Les attaquants peuvent toujours causer des dommages en effaçant les données ou en les cryptant deux fois pour empêcher l'accès aux parties autorisées.
Vous trouverez ci-dessous plusieurs problèmes courants auxquels sont confrontées les organisations de toutes tailles lorsqu'elles tentent de sécuriser des données sensibles.
Exposition accidentelle
Un grand pourcentage de violations de données n'est pas le résultat d'une attaque malveillante mais est dû à une exposition négligente ou accidentelle de données sensibles. Il est fréquent que les employés d'une organisation partagent, autorisent l'accès, perdent ou manipulent mal des données précieuses, soit par accident, soit parce qu'ils ne connaissent pas les politiques de sécurité.
Ce problème majeur peut être résolu par la formation des employés, mais aussi par d'autres mesures, comme la technologie de prévention des pertes de données (DLP) et l'amélioration des contrôles d'accès.
Les attaques par ingénierie sociale sont un des principaux vecteurs utilisés par les attaquants pour accéder à des données sensibles. Elles consistent à manipuler ou à inciter des personnes à fournir des informations privées ou à accéder à des comptes privilégiés.
Le phishing est une forme courante d'ingénierie sociale. Il s'agit de messages qui semblent provenir d'une source fiable, mais qui sont en fait envoyés par un attaquant. Lorsque les victimes obtempèrent, par exemple en fournissant des informations privées ou en cliquant sur un lien malveillant, les attaquants peuvent compromettre leur appareil ou accéder à un réseau d'entreprise.
Menaces d'initiés
Les menaces d'initiés sont des employés qui, par inadvertance ou intentionnellement, menacent la sécurité des données d'une organisation. Il existe trois types de menaces internes :
Les initiés non malveillants : il s'agit d'utilisateurs qui peuvent causer des dommages par accident, par négligence ou parce qu'ils ne connaissent pas les procédures de sécurité.
Les initiés malveillants : il s'agit d'utilisateurs qui tentent activement de voler des données ou de nuire à l'organisation à des fins personnelles.
Initié compromis : il s'agit d'utilisateurs qui ne savent pas que leurs comptes ou leurs informations d'identification ont été compromis par un attaquant externe. L'attaquant peut alors exercer une activité malveillante en se faisant passer pour un utilisateur légitime.
Ransomware
Les ransomwares constituent une menace majeure pour les données des entreprises de toutes tailles. Un ransomware est un logiciel malveillant qui infecte les appareils de l'entreprise et crypte les données, les rendant inutilisables sans la clé de décryptage. Les attaquants affichent un message de rançon demandant un paiement pour libérer la clé, mais dans de nombreux cas, même le paiement de la rançon est inefficace et les données sont perdues.
De nombreux types de ransomware peuvent se propager rapidement et infecter de grandes parties d'un réseau d'entreprise. Si une entreprise n'effectue pas de sauvegardes régulières ou si le ransomware parvient à infecter les serveurs de sauvegarde, il se peut qu'il n'y ait aucun moyen de récupérer les données.
Pour en savoir plus, consultez le guide détaillé sur la protection contre les ransomwares.
Perte de données dans le cloud
De nombreuses organisations déplacent leurs données vers le cloud pour faciliter le partage et la collaboration. Cependant, lorsque les données se déplacent vers le cloud, il est plus difficile de contrôler et de prévenir les pertes de données. Les utilisateurs accèdent aux données depuis des appareils personnels et sur des réseaux non sécurisés. Il est trop facile de partager un fichier avec des parties non autorisées, que ce soit par accident ou par malveillance.
Injection SQL
L'injection SQL (SQLi) est une technique courante utilisée par les attaquants pour obtenir un accès illicite aux bases de données, voler des données et effectuer des opérations non souhaitées. Elle fonctionne en ajoutant un code malveillant à une requête de base de données apparemment innocente.
L'injection SQL manipule le code SQL en ajoutant des caractères spéciaux à une entrée utilisateur qui modifient le contexte de la requête. La base de données s'attend à traiter une entrée utilisateur, mais au lieu de cela, elle commence à traiter un code malveillant qui fait avancer les objectifs de l'attaquant. L'injection SQL peut exposer les données des clients, la propriété intellectuelle ou donner aux attaquants un accès administratif à une base de données, ce qui peut avoir de graves conséquences.
Les vulnérabilités d'injection SQL sont généralement le résultat de pratiques de codage non sécurisées. Il est relativement facile de prévenir l'injection SQL si les codeurs utilisent des mécanismes sécurisés pour accepter les entrées utilisateur, qui sont disponibles dans tous les systèmes de bases de données modernes.
Pour en savoir plus, consultez le guide détaillé sur l'injection SQL
Il existe plusieurs technologies et pratiques qui peuvent améliorer la sécurité des données. Aucune technique ne peut résoudre le problème à elle seule, mais en combinant plusieurs des techniques ci-dessous, les organisations peuvent améliorer considérablement leur posture de sécurité.
Les environnements informatiques modernes stockent des données sur des serveurs, des points d'extrémité et des systèmes en nuage. La visibilité sur les flux de données est une première étape importante pour comprendre quelles données risquent d'être volées ou mal utilisées. Pour protéger correctement vos données, vous devez connaître le type de données, leur emplacement et leur utilisation. Les outils de détection et de classification des données peuvent vous aider.
La détection des données est la base pour savoir quelles données vous avez. La classification des données vous permet de créer des solutions de sécurité évolutives, en identifiant les données sensibles qui doivent être sécurisées. Les solutions de détection et de classification des données permettent de marquer les fichiers sur les terminaux, les serveurs de fichiers et les systèmes de stockage en nuage, ce qui vous permet de visualiser les données dans toute l'entreprise, afin d'appliquer les politiques de sécurité appropriées.
Le masquage des données vous permet de créer une version synthétique de vos données organisationnelles, que vous pouvez utiliser pour les tests de logiciels, la formation et d'autres objectifs qui ne nécessitent pas les données réelles. L'objectif est de protéger les données tout en fournissant une alternative fonctionnelle en cas de besoin.
Le masquage des données conserve le type de données, mais modifie les valeurs. Les données peuvent être modifiées de plusieurs façons, notamment par le cryptage, le mélange de caractères et la substitution de caractères ou de mots. Quelle que soit la méthode choisie, vous devez modifier les valeurs d'une manière qui ne puisse pas faire l'objet d'une rétro-ingénierie.
La gestion des identités et des accès (IAM) est un processus commercial, une stratégie et un cadre technique qui permettent aux organisations de gérer les identités numériques. Les solutions IAM permettent aux administrateurs informatiques de contrôler l'accès des utilisateurs aux informations sensibles au sein d'une organisation.
Les systèmes utilisés pour l'IAM comprennent les systèmes d'authentification unique, l'authentification à deux facteurs, l'authentification multifactorielle et la gestion des accès privilégiés. Ces technologies permettent à l'organisation de stocker en toute sécurité les données d'identité et de profil, et de prendre en charge la gouvernance, en veillant à ce que les politiques d'accès appropriées soient appliquées à chaque partie de l'infrastructure.
Le cryptage des données est une méthode permettant de convertir des données d'un format lisible (texte en clair) en un format codé illisible (texte chiffré). Ce n'est qu'après avoir décrypté les données chiffrées à l'aide de la clé de décryptage que les données peuvent être lues ou traitées.
Dans les techniques de cryptographie à clé publique, il n'est pas nécessaire de partager la clé de décryptage - l'expéditeur et le destinataire possèdent chacun leur propre clé, qui est combinée pour effectuer l'opération de cryptage. Cette méthode est intrinsèquement plus sûre.
Le cryptage des données peut empêcher les pirates d'accéder à des informations sensibles. Il est essentiel pour la plupart des stratégies de sécurité et est explicitement requis par de nombreuses normes de conformité.
Pour prévenir la perte de données, les organisations peuvent utiliser un certain nombre de mesures de protection, notamment la sauvegarde des données sur un autre site. La redondance physique peut aider à protéger les données contre les catastrophes naturelles, les pannes ou les attaques contre les serveurs locaux. La redondance peut être effectuée au sein d'un centre de données local, ou en répliquant les données sur un site distant ou dans un environnement en nuage.
Au-delà des mesures de base comme la sauvegarde, les solutions logicielles DLP peuvent aider à protéger les données de l'entreprise. Les logiciels DLP analysent automatiquement le contenu pour identifier les données sensibles, ce qui permet de contrôler et d'appliquer de manière centralisée les politiques de protection des données, et d'alerter en temps réel lorsqu'ils détectent une utilisation anormale de données sensibles, par exemple de grandes quantités de données copiées en dehors du réseau de l'entreprise.
Pour en savoir plus, consultez le guide détaillé de la DLP
La GRC est une méthodologie qui peut contribuer à améliorer la sécurité des données et la conformité :
La gouvernance crée des contrôles et des politiques appliqués dans toute l'organisation pour garantir la conformité et la protection des données.
Le risque consiste à évaluer les menaces potentielles de cybersécurité et à s'assurer que l'organisation y est préparée.
La conformité garantit que les pratiques organisationnelles sont conformes aux normes réglementaires et sectorielles lors du traitement, de l'accès et de l'utilisation des données.
L'une des meilleures pratiques les plus simples en matière de sécurité des données consiste à s'assurer que les utilisateurs ont des mots de passe uniques et forts. Sans une gestion et une application centralisées, de nombreux utilisateurs utiliseront des mots de passe faciles à deviner ou utiliseront le même mot de passe pour de nombreux services différents. La pulvérisation de mots de passe et d'autres attaques par force brute peuvent facilement compromettre les comptes dont les mots de passe sont faibles.
Une mesure simple consiste à imposer des mots de passe plus longs et à demander aux utilisateurs de changer fréquemment de mot de passe. Toutefois, ces mesures ne sont pas suffisantes et les organisations devraient envisager des solutions d'authentification multifactorielle (AMF) qui obligent les utilisateurs à s'identifier à l'aide d'un jeton ou d'un dispositif qu'ils possèdent, ou par des moyens biométriques.
Une autre solution complémentaire est un gestionnaire de mots de passe d'entreprise qui stocke les mots de passe des employés sous forme cryptée, ce qui réduit la charge de mémorisation des mots de passe pour plusieurs systèmes d'entreprise et facilite l'utilisation de mots de passe plus forts. Cependant, le gestionnaire de mots de passe lui-même devient une faille de sécurité pour l'organisation.
Pour en savoir plus, consultez le guide détaillé de l'authentification sans mot de passe.
Les organisations doivent mettre en place des méthodes d'authentification forte, comme OAuth pour les systèmes basés sur le web. Il est fortement recommandé d'appliquer l'authentification multifactorielle lorsque tout utilisateur, qu'il soit interne ou externe, demande des données sensibles ou personnelles.
En outre, les organisations doivent mettre en place un cadre d'autorisation clair, qui garantit que chaque utilisateur dispose exactement des droits d'accès dont il a besoin pour exécuter une fonction ou consommer un service, et pas plus. Des examens périodiques et des outils automatisés doivent être utilisés pour nettoyer les autorisations et supprimer les autorisations des utilisateurs qui n'en ont plus besoin.
L'organisation doit effectuer des audits de sécurité au moins tous les deux mois. Cela permet d'identifier les lacunes et les vulnérabilités de la posture de sécurité de l'organisation. Il est judicieux d'effectuer l'audit par l'intermédiaire d'un expert tiers, par exemple dans le cadre d'un modèle de test de pénétration. Cependant, il est également possible de réaliser un audit de sécurité en interne. Plus important encore, lorsque l'audit met en évidence des problèmes de sécurité, l'organisation doit consacrer du temps et des ressources pour les résoudre et y remédier.
Les logiciels malveillants sont le vecteur le plus courant des cyberattaques modernes. Les entreprises doivent donc s'assurer que les points d'extrémité, tels que les postes de travail des employés, les appareils mobiles, les serveurs et les systèmes en nuage, bénéficient d'une protection appropriée. La mesure de base est un logiciel antivirus, mais cela ne suffit plus pour faire face aux nouvelles menaces telles que les attaques sans fichier et les logiciels malveillants inconnus de type "zero-day".
Les plateformes de protection des points d'extrémité (EPP) adoptent une approche plus complète de la sécurité des points d'extrémité. Elles combinent l'antivirus avec une analyse basée sur l'apprentissage automatique des comportements anormaux sur le périphérique, ce qui peut aider à détecter des attaques inconnues. La plupart des plateformes offrent également des fonctionnalités de détection et de réponse aux points d'extrémité (EDR), qui aident les équipes de sécurité à identifier les violations sur les points d'extrémité au moment où elles se produisent, à les examiner et à réagir en verrouillant et en réimplantant les points d'extrémité concernés.
La confiance zéro est un modèle de sécurité introduit par John Kindervag, analyste chez Forrester, qui a été adopté par le gouvernement américain, plusieurs organismes de normalisation technique et un grand nombre des plus grandes entreprises technologiques du monde. Le principe de base de la confiance zéro est qu'il ne faut faire confiance à aucune entité sur un réseau, qu'elle se trouve à l'extérieur ou à l'intérieur du périmètre du réseau.
La confiance zéro met particulièrement l'accent sur la sécurité des données, car celles-ci constituent le principal actif auquel s'intéressent les attaquants. Une architecture de confiance zéro vise à protéger les données contre les menaces internes et externes en vérifiant en permanence toutes les tentatives d'accès et en refusant l'accès par défaut.
Les mécanismes de sécurité de confiance zéro construisent plusieurs couches de sécurité autour des données sensibles. Par exemple, ils utilisent la microsegmentation pour garantir que les actifs sensibles du réseau sont isolés des autres actifs. Dans un véritable réseau de confiance zéro, les attaquants ont un accès très limité aux données sensibles, et il existe des contrôles qui peuvent aider à détecter et à répondre à tout accès anormal aux données.
Pour en savoir plus, consultez le guide détaillé sur l'accès au réseau de confiance zéro.
La sécurité des bases de données consiste à protéger les systèmes de gestion des bases de données, tels qu'Oracle, SQL Server ou MySQL, contre les utilisations non autorisées et les cyberattaques malveillantes. Les principaux éléments protégés par la sécurité des bases de données sont :
Le système de gestion de base de données (SGBD).
Les données stockées dans la base de données.
Les applications associées au SGBD.
Le serveur de base de données physique ou virtuel et tout matériel sous-jacent.
Toute infrastructure informatique et réseau utilisée pour accéder à la base de données.
Une stratégie de sécurité des bases de données implique des outils, des processus et des méthodologies pour configurer et maintenir la sécurité à l'intérieur d'un environnement de base de données et protéger les bases de données contre les intrusions, les utilisations abusives et les dommages.
La sécurité des big data implique des pratiques et des outils utilisés pour protéger les grands ensembles de données et les processus d'analyse des données. Les big data prennent généralement la forme de journaux financiers, de données de santé, de lacs de données, d'archives et d'ensembles de données de veille stratégique. Dans le périmètre du big data, trois scénarios principaux nécessitent une protection : les transferts de données entrants, les transferts de données sortants et les données au repos.
La sécurité des big data vise à prévenir les violations, les fuites, les pertes et les exfiltrations accidentelles et intentionnelles de grandes quantités de données. Passons en revue les services de big data populaires et voyons les principales stratégies pour les sécuriser.
AWS propose des solutions analytiques pour les mises en œuvre de big data. Il existe différents services proposés par AWS pour automatiser l'analyse des données, manipuler les ensembles de données et en tirer des enseignements, notamment Amazon Simple Storage Service (S3), Amazon Kinesis, Amazon Elastic Map/Reduce (EMR) et Amazon Glue.
Les meilleures pratiques en matière de sécurité des big data AWS comprennent :
Options de politique d'accès : utilisez les options de politique d'accès pour gérer l'accès à vos ressources S3.
Politique de chiffrement des données : utilisez Amazon S3 et AWS KMS pour gérer le chiffrement.
Gestion des données avec le marquage d'objets : catégorisez et gérez les ressources de données S3 à l'aide de balises, et appliquez des balises indiquant les données sensibles qui nécessitent des mesures de sécurité particulières.
Pour en savoir plus, consultez le guide détaillé sur AWS Big Data.
Le cloud Microsoft Azure offre des services de big data et d'analyse capables de traiter un volume élevé de données structurées et non structurées. La plateforme propose un stockage élastique à l'aide des services de stockage Azure, des analyses en temps réel, des services de base de données, ainsi que des solutions d'apprentissage automatique et d'ingénierie des données.
Les meilleures pratiques en matière de sécurité des big data Azure sont les suivantes :
Surveillez autant de processus que possible.
Exploitez Azure Monitor et Log Analytics pour obtenir une visibilité sur les flux de données.
Définissez et appliquez une politique de sécurité et de confidentialité.
Exploitez les services Azure pour la sauvegarde, la restauration et la reprise après sinistre.
Pour en savoir plus, consultez le guide détaillé sur Azure Big Data.
La plateforme Google Cloud offre plusieurs services qui prennent en charge le stockage et l'analyse des données volumineuses. BigQuery est un moteur compatible SQL très performant, qui peut effectuer des analyses sur de grands volumes de données en quelques secondes. Les services supplémentaires comprennent Dataflow, Dataproc et Data Fusion.
Les meilleures pratiques en matière de sécurité des big data de Google Cloud sont les suivantes :
Définissez les contrôles d'accès à BigQuery selon le principe du moindre privilège.
Utilisez des balises de politique ou une classification par type pour identifier les données sensibles.
Exploitez la sécurité au niveau des colonnes pour vérifier si un utilisateur a le droit de consulter des données spécifiques au moment de la requête.
Snowflake est un entrepôt de données en nuage pour les entreprises, conçu pour l'analyse de données volumineuses à haute performance. L'architecture de Snowflake sépare physiquement le calcul et le stockage, tout en les intégrant logiquement. Snowflake offre un support complet des bases de données relationnelles et peut travailler avec des données structurées et semi-structurées.
Les meilleures pratiques de sécurité de Snowflake sont les suivantes
Définir l'accès au réseau et au site par le biais de listes d'IP autorisées/bloquées.
Utilisez SCIM pour gérer les identités et les groupes d'utilisateurs.
Exploitez l'authentification et la rotation des paires de clés pour améliorer la sécurité de l'authentification des clients.
Activez l'authentification multifactorielle.
Elasticsearch est un moteur de recherche et d'analyse en texte intégral open-source, hautement évolutif, qui permet d'effectuer des recherches et des analyses sur des données volumineuses en temps réel. Il alimente les applications ayant des exigences de recherche complexes. Elasticsearch fournit un système distribué au-dessus de Lucene StandardAnalyzer pour l'indexation et la prédiction automatique de type, et utilise une API REST basée sur JSON pour les fonctionnalités de Lucene.
Les meilleures pratiques de sécurité d'Elasticsearch sont les suivantes :
Utiliser des mots de passe forts pour protéger l'accès aux clusters de recherche.
Cryptage de toutes les communications à l'aide de SSL/TLS
Utiliser le contrôle d'accès basé sur les rôles (RBAC)
Utiliser le filtrage IP pour l'accès des clients
Activez l'audit et surveillez régulièrement les journaux.
Pour en savoir plus, consultez le guide détaillé d'Elasticsearch.
Splunk est une plateforme logicielle qui indexe les données des machines, les rend consultables et les transforme en intelligence exploitable. Il extrait les fichiers journaux des applications, des serveurs, des appareils mobiles et des sites Web, les agrège et fournit des fonctions d'analyse riches.
Les meilleures pratiques de sécurité de Splunk comprennent :
La prévention des accès non autorisés par la définition de RBAC, le cryptage des données et l'obscurcissement des informations d'identification.
Utiliser le cryptage SSL/TLS pour l'ingestion de données et les communications internes de Splunk.
Renforcer les instances Splunk en s'assurant qu'elles sont physiquement sécurisées et qu'elles ne stockent pas de secrets en clair.
l'utilisation d'événements d'audit pour suivre les modifications apportées à la configuration du système Splunk.
Pour en savoir plus, consultez le guide détaillé de l'architecture Splunk.
Les applications d'entreprise alimentent les opérations critiques des organisations de toutes tailles. La sécurité des applications d'entreprise vise à protéger les applications d'entreprise contre les attaques externes, les abus d'autorité et le vol de données.
Sécurité du courrier électronique
La sécurité du courrier électronique consiste à garantir la disponibilité, l'intégrité et la fiabilité des communications par courrier électronique en les protégeant des cybermenaces.
Les organismes de normalisation technique ont recommandé des protocoles de sécurité du courrier électronique, notamment SSL/TLS, Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM). Ces protocoles sont mis en œuvre par les clients et les serveurs de messagerie, notamment Microsoft Exchange et Google G Suite, afin de garantir la transmission sécurisée des messages électroniques. Outre la mise en œuvre de protocoles de sécurité, une passerelle de messagerie sécurisée aide les organisations et les particuliers à protéger leur courrier électronique contre diverses menaces.
La planification des ressources de l'entreprise (ERP) est un logiciel conçu pour gérer et intégrer dans un seul système les fonctions des principaux processus commerciaux tels que les finances, les ressources humaines, la chaîne d'approvisionnement et la gestion des stocks. Les systèmes ERP stockent des informations très sensibles et sont, par définition, des systèmes critiques.
La sécurité des ERP est un vaste ensemble de mesures destinées à protéger un système ERP contre les accès non autorisés et à garantir l'accessibilité et l'intégrité des données du système. L'Information Systems Audit and Control Association (ISACA) recommande d'effectuer régulièrement des évaluations de la sécurité des systèmes ERP, notamment en ce qui concerne les vulnérabilités logicielles, les mauvaises configurations, les conflits de séparation des tâches (SoD) et la conformité aux recommandations de sécurité des fournisseurs.
La gestion des actifs numériques (DAM) est une plate-forme technologique et un processus commercial permettant d'organiser, de stocker et d'acquérir des médias riches et de gérer les droits numériques et les licences. Les actifs rich media comprennent les photos, la musique, les vidéos, les animations, les podcasts et autres contenus multimédias. Les données stockées dans les systèmes DAM sont sensibles car elles représentent souvent la propriété intellectuelle de l'entreprise et sont utilisées dans des processus critiques tels que les ventes, le marketing et la diffusion de médias aux spectateurs et aux visiteurs du Web.
Les meilleures pratiques de sécurité pour le DAM sont les suivantes :
Mettre en œuvre le principe du moindre privilège.
Utilisez une liste d'autorisation pour les destinations de fichiers.
Utiliser l'authentification multifactorielle pour contrôler l'accès des tiers.
Examiner régulièrement les scripts d'automatisation, limiter les privilèges des commandes utilisées et contrôler le processus d'automatisation par la journalisation et les alertes.
Pour en savoir plus, consultez le guide détaillé sur la gestion des ressources numériques (DAM).
La gestion de la relation client (CRM) est une combinaison de pratiques, de stratégies et de technologies que les entreprises utilisent pour gérer et analyser les interactions et les données des clients tout au long de leur cycle de vie. Les données CRM sont très sensibles car elles peuvent exposer l'actif le plus précieux d'une organisation - les relations avec les clients. Les données CRM sont également des informations personnelles identifiables (PII) et sont soumises aux réglementations sur la confidentialité des données.
Les meilleures pratiques en matière de sécurité pour les CRM sont les suivantes
Réaliser des audits périodiques d'évaluation des risques informatiques pour les systèmes CRM.
Effectuer une surveillance de l'activité CRM pour identifier les utilisations inhabituelles ou suspectes.
Encourager les administrateurs CRM à suivre les meilleures pratiques de sécurité.
Former les utilisateurs de CRM aux meilleures pratiques de sécurité.
Si vous exploitez le CRM en tant que SaaS, faites preuve de diligence raisonnable quant aux pratiques de sécurité du fournisseur de SaaS.