Pourquoi la DLP dans l'informatique dématérialisée est-elle importante ?

20 juillet 2022

Par Anand Ramanathan - Chief Product Officer, Skyhigh Security

Bienvenue sur notre premier blog de la série mensuelle Skyhigh Security "Ask Me Anything" ! Nous invitons votre public à soumettre des questions brûlantes liées à la sécurité sur LinkedIn ou Twitter par message direct ou sous forme de commentaire sur notre article.

Cette fois-ci, le sujet est Data Loss Prevention (DLP). Nous avons mis aux voix deux questions sur DLP :

1. La DLP est-elle vraiment nécessaire dans un environnement non réglementé ? (46%)
2. Pourquoi la DLP dans l'informatique dématérialisée est-elle importante ? (54%)

La majorité de notre public a choisi la question suivante : "Pourquoi la DLP dans le Cloud est-elle importante ?" Entrons dans le vif du sujet.

Dans le monde actuel du travail en tout lieu, votre organisation utilise de plus en plus de données dans le cloud, que ce soit dans des applications professionnelles de type Software-as-a-Service, telles que Microsoft 365, Dropbox ou Slack, au quotidien, ou dans des logiciels propriétaires résidant sur des plates-formes de cloud public telles qu'Amazon Web Services (AWS). Les données n'étant plus sécurisées entre les quatre murs du périmètre du réseau de l'entreprise, elles sont vulnérables aux abus, au vol et à la perte accidentelle.

Il est essentiel de protéger vos données en mouvement et au repos à l'aide de la bonne solution DLP (Cloud Data Loss Prevention ). Pour sécuriser votre environnement en nuage, vous avez probablement envisagé des solutions Security Service Edge (SSE). Lorsque vous examinez les services de sécurité disponibles dans le nuage, posez des questions sur les capacités de DLP. Vous voudrez vous assurer que la solution choisie offre une protection cohérente et unifiée des données, avec les mêmes politiques d'entreprise sur tous les appareils et dans tous les composants SSE.

Voici pourquoi vous avez besoin d'une solution DLP complète intégrée à votre infrastructure de sécurité en nuage.

• Des données sensibles peuvent être téléchargées ou exfiltrées d'une application Shadow IT.
  Il n'y a rien de mal à avoir une politique flexible qui permette à vos utilisateurs d'accéder à des applications ou à des services en nuage non autorisés par le service informatique afin de collaborer avec leurs pairs ou de rester productifs. La meilleure façon d'y parvenir est d'appliquer vos politiques d'entreprise à votre Secure Web Gateway (SWG), qui opère en ligne au niveau du réseau et surveille les données sensibles au fur et à mesure qu'elles circulent dans le trafic.

• Toutes les données ne doivent pas être partagées par toutes les applications en nuage, même si elles sont approuvées.
  Vos utilisateurs accèdent presque tous les jours à des services en nuage approuvés et fiables, mais vous ne souhaitez pas nécessairement que tous les utilisateurs partagent des données sensibles dans toutes les applications. Par exemple, vous ne voudriez probablement pas que le service de comptabilité partage avec d'autres unités commerciales des informations financières sensibles contenues dans un fichier Excel de Microsoft 365. C'est là qu'intervient un robuste Cloud Access Security Broker (CASB). Il détecte les données sensibles stockées, en cours d'utilisation ou en mouvement dans le nuage et bloque le partage en fonction de la politique. Un CASB dispose de contrôles basés sur l'identité de l'utilisateur, le service, l'application, l'activité, l'emplacement ou le point de terminaison et peut détecter les menaces basées sur le cloud comme les ransomwares et les logiciels malveillants.

• Les applications internes développées sur des plateformes de cloud public manquent souvent de contrôles des données au sein de l'application et de l'environnement de développement.
  Il est plus que probable que vos DevOps internes créent et déploient des applications sur des plateformes de cloud public comme AWS ou Microsoft Azure, entre autres. Ne tombez pas dans le piège de penser que ces applications en nuage sont sécurisées. Le problème, c'est que les développeurs ont tendance à laisser leur panier S3 dans un format réinscriptible. Cela signifie que toutes les données sensibles utilisées par ces applications sont exposées et exploitables. Si vos précieuses données tombent entre de mauvaises mains, c'est finalement votre organisation qui est responsable de la violation. Cloud-Native Application Protection (CNAPP) offre une visibilité sur les données sensibles stockées dans le cloud public ou dans tout environnement multi-cloud. Il identifie les vulnérabilités, les comportements potentiellement risqués et les logiciels malveillants dans ces applications et remédie automatiquement aux menaces. Pour renforcer pleinement les applications, CNAPP aide les développeurs à intégrer et à maintenir la sécurité dans les applications et les charges de travail du cloud en découvrant, en classant et en hiérarchisant les risques parmi les fournisseurs, les applications et les données du cloud public.

• La connectivité à distance met les données en danger, même lorsque les appareils fournis par l'entreprise accèdent à des applications approuvées.
  Si votre entreprise emploie une main-d'œuvre distante ou hybride, vous vous êtes déjà rendu compte que le VPN n'a jamais été conçu pour fournir une connectivité efficace et sûre à des milliers d'employés hors site. De nombreuses organisations adoptent les solutions zero trust network access (ZTNA), qui fonctionnent selon le principe "Ne jamais faire confiance. Vérifiez toujours." ZTNA connecte les utilisateurs à des applications privées en déterminant d'abord les attributs de confiance des utilisateurs, de leurs appareils et de leurs connexions avant d'autoriser l'accès.Mais en matière de protection des données, toutes les solutions ZTNA ne tiennent pas compte du contexte. Supposons que l'un de vos employés souhaite accéder à une application autorisée, mais que son ordinateur portable d'entreprise ne dispose pas des dernières mises à jour antivirus. Avec un moteur DLP intégré à ZTNA, vous n'avez pas besoin de bloquer l'accès de ces utilisateurs. Au lieu de cela, vous pouvez les diriger vers une session Remote Browser Isolation (RBI), où ils peuvent voir l'application mais ne peuvent pas télécharger de données sensibles tant que leur ordinateur portable n'a pas été mis à jour.

La technologie DLP est indispensable pour une solution ESS vraiment robuste. Skyhigh SecurityL'approche de DLP dans le nuage adoptée par l'entreprise de l'IBC répond à toutes les attentes :

• Politiques unifiées, natives du cloud, intégrées à tous les vecteurs d'exfiltration de données et à tous les composants de l'ESS : SWG, CASB, ZTNA et RBI
• Intelligence intégrée qui applique des politiques et des contrôles de sécurité pour empêcher l'exfiltration de données
• Une plateforme unique et centralisée de gestion et de reporting
• Technologies de sécurité multicouches qui répondent à toutes les utilisations possibles au sein de votre organisation

Pour en savoir plus, cliquez ici.