Qu'est-ce que la protection des données ?
Songez à toutes les informations confidentielles et personnelles avec lesquelles votre entreprise travaille sur une journée, une semaine ou un mois. Maintenant, pensez à ce qui se passerait si ce contenu était perdu, effacé ou volé. Vous vous empresseriez de chercher une protection.
L'augmentation du contenu (et de la dépendance de chaque entreprise à celui-ci) a rendu la protection des données de vos employés, clients et partenaires essentielle. Elle permet de sécuriser le contenu de votre entreprise en minimisant le risque de perte ou de vol. Lisez la suite pour apprendre les bases de la protection et de la sécurité des données, et comment vous pouvez protéger les précieuses informations de votre entreprise.
Protection des données : définition
La protection des données en entreprise consiste à sécuriser le contenu et les informations. Elle prend deux formes :
- Protéger le contenu contre d'éventuels acteurs malveillants et prévenir la perte de données
- Assurer la restauration de toutes les données compromises
Restreindre l'accès aux données
L'un des objectifs de la protection des données peut être de limiter l'accès à certaines informations. Par exemple, les entreprises de santé gardent les dossiers des patients confidentiels pour se conformer au RGPD. Un tiers ne doit pas pouvoir accéder au dossier médical d'un patient.
La protection des données vous permet de contrôler qui peut ouvrir ou consulter des fichiers donnés. Vous pouvez également définir des mots de passe pour protéger le contenu, ou en limiter l'accès aux seuls utilisateurs autorisés.
La protection des données inclut parfois l'effacement ou la suppression des données. Il peut arriver que votre entreprise n'ait plus besoin d'un élément de contenu particulier. Le conserver dans un fichier pourrait mettre en danger des informations confidentielles. La meilleure option est donc de le supprimer ou de le détruire.
Selon le type de contenu et les règles de conformité en vigueur, il est possible que le simple fait de cliquer sur supprimer ne soit pas suffisant. Il vous faudra peut-être suivre un processus pour vous assurer que le contenu est entièrement effacé, et qu'il ne peut pas être récupéré ou consulté par quelqu'un d'autre.
Protéger et restaurer les données
Un autre élément de la protection des données consiste à restaurer les données après une perte, ou à empêcher la perte en premier lieu. Les anciennes méthodes de protection des données consistaient peut-être à conserver les fichiers papier dans une armoire ignifugée, ou à effectuer plusieurs sauvegardes des fichiers numériques. Les méthodes modernes de protection des données prévoient d'utiliser un système basé sur le cloud qui conserve vos informations en ligne plutôt que sur un serveur ou un ordinateur physique.
La protection des données vous permet également de restaurer rapidement du contenu perdu, ce qui limite les temps d'arrêt et minimise les frustrations. Par exemple, si vous avez sauvegardé toutes vos informations, vous pouvez accéder à vos données même en cas de panne d’un serveur ou d’un ordinateur. Posséder des copies à la fois physiques et numériques de votre contenu minimise le risque de perte.
3 catégories de protection des données
Il existe trois catégories de protection des données, qui dépendent du type de données et des méthodes utilisées pour les protéger.
1. Protection traditionnelle des données
La protection traditionnelle des données se concentre sur la préservation, la conservation, la restauration et la duplication des données. La sauvegarde des données est peut-être la pierre angulaire des méthodes de protection classiques. Une sauvegarde peut se présenter sous différentes formes :
- Un disque dur ou une clé USB contenant tous vos fichiers
- Un système de stockage cloud
- Des copies physiques du contenu numérique
La réplication est une composante de la sauvegarde des données. Ce processus consiste à dupliquer constamment les données pour garantir qu'il existe toujours une copie de sauvegarde. Les données répliquées sont stockées dans le cloud ou sur un serveur physique. La réplication permet d’accéder facilement aux données cas de perte ou de défaillance du système.
Imaginons que votre système entier tombe en panne. Vous ne pouvez pas vous permettre d'arrêter les opérations et d'attendre que le système soit remis en ligne. La réplication vous permet de récupérer l'accès à votre contenu. Elle peut être synchrone (les données sont mises à jour en même temps que le contenu original), ou asynchrone (les données sont répliquées une fois le contenu primaire sauvegardé, ou à une heure prévue, notamment la nuit).
La réplication synchrone est idéale pour les éléments de contenu critiques, lorsque vous ne devez absolument pas perdre d'informations. La réplication asynchrone peut convenir lorsqu'une petite perte de données est acceptable.
L’erasure coding et la technologie RAID (redundant array of independent disks) sont deux autres composantes de la protection traditionnelle des données. Selon le mécanisme utilisé, le RAID met les données en miroir (des copies des données sont stockées sur plusieurs disques), ou les « stripe » (des blocs de données sont stockés sur plusieurs disques). L’erasure coding découpe les données et stocke les fragments sur plusieurs disques. Si le contenu original est corrompu ou perdu, vous pouvez le restaurer à partir des données répliquées ou fragmentées.
Il est possible qu'à un moment donné votre entreprise n'ait plus besoin de certains éléments de contenu, mais que vous ne soyez pas prêt à les supprimer ou à les détruire. L'archivage de données fait partie de la protection traditionnelle des données. Il offre un moyen sûr de stocker les données auxquelles vous n'avez plus besoin d'accéder facilement.
2. Sécurité des données
Les mesures traditionnelles de protection des données se concentrent sur la sauvegarde du contenu par le biais de duplications et de sauvegardes, tandis que la sécurité des données se concentre sur la protection des données contre les menaces extérieures, notamment les acteurs malveillants, les violations et les logiciels malveillants. Les mesures de sécurité des données visent à protéger l'intégrité de vos données.
Le chiffrement est un élément essentiel de la sécurité des données. Lorsque vous chiffrez du contenu, vous le brouillez. Si quelqu'un ouvre un fichier chiffré, il verra probablement quelque chose qui ne veut rien dire. Pour savoir ce qu’il contient, il lui faudra une clé de décryptage. Les données peuvent être chiffrées lorsqu'elles sont au repos, notamment lorsqu'elles sont stockées sur un serveur cloud, et lorsqu'elles sont en transit, par exemple lorsque vous les envoyez par e-mail ou les transférez d'un ordinateur à l’autre.
Le contrôle d'accès est un autre élément essentiel de la sécurité des données. Vous ne voulez pas que des acteurs malveillants ou des utilisateurs non autorisés mettent la main sur des données confidentielles. Une façon de vous protéger est de mettre en place des contrôles d'accès. Vous pouvez par exemple restreindre l'accès à un contenu à certaines personnes de votre entreprise, par exemple les responsables.
L'authentification va de pair avec le contrôle d'accès. Vous pouvez demander aux utilisateurs de vérifier leur identité avant d'accéder aux données pour éviter qu'elles ne tombent entre de mauvaises mains.
Les mesures de sécurité visent également à limiter les menaces et à prévenir la perte de données. Vous pouvez mettre en place des contrôles d'audit pour savoir qui accède à quelles données, et à quel moment. Les audits peuvent vous aider à détecter les activités inhabituelles.
3. Confidentialité des données
La confidentialité des données en entreprise concerne la manière dont les données sont traitées, et qui y a accès. Elle implique souvent la protection des données personnelles, notamment les dossiers médicaux, les informations financières et les coordonnées. Selon le type de contenu avec lequel votre entreprise travaille, vous devrez peut-être respecter des réglementations spécifiques pour préserver la confidentialité des données en entreprise. Citons quelques-unes de ces réglementations :
- HIPAA (seulement aux États-Unis)
- Règlement général sur la protection des données (RGPD)
- Autorité européenne des marchés financiers (AEMF/ESMA)
- Directives de bonnes pratiques ou GxP
- Le Règlement sur le trafic d'armes international (ITAR) et les Réglementations administratives sur l'exportation (EAR)
La confidentialité des données concerne également la manière dont vous stockez le contenu. Vous devrez suivre les bonnes pratiques définies par les diverses réglementations auxquelles vous êtes soumis pour garantir le respect de la vie privée.
Protection des données vs. confidentialité des données
Bien que la confidentialité des données relève de la protection des données, il est important de comprendre que les deux notions ne sont pas synonymes. Pour bien faire la différence entre les deux, il faut se rappeler qu'avoir l'une ne signifie pas exactement avoir l'autre.
Vous pouvez garantir la confidentialité de votre contenu en mettant en place des contrôles d'accès et en limitant les personnes qui peuvent le consulter ou le modifier. Limiter l'accès aux données protège leur confidentialité, mais ne protège pas nécessairement les informations elles-mêmes. Sans mesures de sauvegarde, de réplication et de rétention, les données peuvent être corrompues ou perdues.
De même, mettre en place des systèmes de sauvegarde et des plans de rétention des données ne limite pas les personnes qui y ont accès. Sans les contrôles nécessaires, un acteur malveillant ou un utilisateur non autorisé peut tomber sur des données qui devraient être confidentielles.
Examiner ce qui se cache derrière les notions de confidentialité et de protection des données permet également de comprendre ce qui les distingue. La confidentialité des données concerne principalement la réglementation. Les normes et les règles qui s'appliquent à votre secteur d'activité et au type de données que vous traitez peuvent définir comment préserver la confidentialité de ces données et quoi faire en cas de violation.
La protection des données se concentre sur la manière dont vous assurez la sécurité des données. Les mesures traditionnelles de protection des données sont basées sur des outils, comme créer un système de sauvegarde ou trouver un moyen de répliquer les données pour les restaurer facilement.
Outils et pratiques de protection des données
Examinons de plus près certains des outils et méthodes de protection des données qui s'offrent à vous.
Prévention des pertes de données (DLP)
La prévention des pertes de données (DLP) est une stratégie qui vise à empêcher les utilisateurs non autorisés d'accéder au contenu de votre entreprise, et à contrôler la façon dont les utilisateurs autorisés partagent le contenu. Elle peut prendre plusieurs formes : il peut s'agir d'un logiciel, d'un ensemble de techniques mises en place pour protéger les données de l’entreprise, ou d'une combinaison des deux.
La DLP consiste principalement à surveiller les données sensibles jointes aux e-mails ou téléchargées par un employé. Par exemple, si un employé envoie un e-mail avec les dossiers d'un patient en pièce jointe, le système de DLP signalera l'e-mail et pourra empêcher la personne de l'envoyer avec la pièce jointe. Un système de DLP peut empêcher le téléchargement d'un élément de contenu confidentiel vers un programme non sécurisé, notamment un site Web ou un système de stockage.
Les systèmes de prévention des pertes de données DLP limitent également l'accès aux contenus confidentiels ou personnels. La plate-forme vérifie l'identité des utilisateurs, et s'assure qu'ils sont autorisés à accéder à des éléments de contenu particuliers. En cas de violation, la DLP peut également garder la trace des données qui sont tombées entre de mauvaises mains.
Stockage avec protection des données intégrée
Stocker votre contenu dans le cloud signifie que vous pouvez y accéder de n'importe où et sur n'importe quel appareil, du moment que vous disposez d'une connexion Internet. Le stockage cloud vous permet également de protéger votre contenu et, en prime, de collaborer plus facilement avec vos collègues de travail à partir d'un seul endroit. Box Shield est une solution de sécurité sans faille qui protège le flux de votre contenu. Elle possède plusieurs fonctionnalités pour sécuriser vos données :
- Classification du contenu
- Contrôles d'accès
- Détection d’anomalies
- Détection des logiciels malveillants
- Système d'alerte
- Mesures de sécurité du dernier kilomètre pour les rédacteurs en ligne
Pare-feu
Le pare-feu est le gardien de votre ordinateur : il empêche certains types de trafic d'accéder à votre appareil. Un pare-feu sait quel type de trafic autoriser ou rejeter en fonction des règles que vous avez définies. Vous pouvez le programmer pour refuser tout trafic provenant d'un pays particulier ou d'une adresse IP particulière.
Les pare-feux peuvent être matériels ou logiciels. Un pare-feu matériel est généralement un routeur, et un pare-feu logiciel un programme à installer sur un appareil. Au-delà de ça, les pare-feux peuvent prendre plusieurs formes différentes.
Par exemple, un pare-feu proxy filtre le trafic d'un réseau vers un appareil. Un pare- feu SMLI (stateful multilayer inspection) peut bloquer le trafic en fonction du protocole, de l'état ou du port, et vous permet de configurer vos propres règles. Les pare-feux nouvelle génération vont un peu plus loin que les deux cités précédemment, et combinent le filtrage avec un antivirus et une protection contre les logiciels malveillants.
Authentification et autorisation
Seuls les utilisateurs autorisés doivent pouvoir accéder à certains contenus. Vous devez mettre en place des contrôles d'accès pour garantir qu’eux seuls pourront consulter ou modifier des données particulières. Vous devez également pouvoir authentifier les utilisateurs pour vérifier qu'ils sont bien ceux qu'ils prétendent être.
Les processus de gestion des identités et des accès (IAM) vous permettent de contrôler qui peut consulter et accéder aux données. Les mesures d’IAM comprennent l'authentification multifactorielle, la protection par mot de passe et la certification des appareils.
L'authentification multifactorielle exige qu'un utilisateur fournisse deux méthodes d'identification. Ils peuvent d'abord entrer un nom d'utilisateur et un mot de passe. Une fois cette vérification effectuée, il leur sera demandé de fournir une deuxième information, par exemple un code envoyé par e-mail (ou par SMS), ou un code secret s’affichant dans une application spéciale. L'utilisateur pourra accéder au contenu une fois qu’il aura fourni cette deuxième information.
La certification des appareils est similaire, dans la mesure où elle nécessite une vérification de l'identité de l'utilisateur. Par exemple, si une personne essaie de se connecter pour la première fois à un site Web avec une tablette au lieu de son PC portable professionnel, elle devra peut-être répondre à une question secrète ou saisir un code reçu.
Les mesures d’IAM vont souvent de pair avec les méthodes de contrôle d'accès basé sur les rôles (RBAC). Le RBAC limite les informations auxquelles une personne peut accéder en fonction de son rôle dans l'entreprise. Vous pouvez décider, par exemple, d'autoriser seulement les responsables ou les cadres à accéder à des éléments de contenu particuliers.
Chiffrement
Le chiffrement protège les informations en les rendant impossibles à déchiffrer sans clé de chiffrement. Si vous avez déjà inventé des codes secrets avec vos amis quand vous étiez enfant, vous connaissez le principe.
Le chiffrement utilisé pour protéger les données est bien plus puissant que n'importe quel code secret que vous pourriez créer. La norme de chiffrement actuelle est de 256 bits. « 256 » fait référence à la longueur de la clé de chiffrement. Pour forcer un message chiffré en 256 bits, un acteur malveillant doit essayer 2 256 (ou 1,15 suivi de 77 zéros) combinaisons différentes.
Protection des points de terminaison
La protection des points de terminaison protège les appareils (PC portables, ordinateurs de bureau et smartphones) contre les attaques. Un acteur malveillant peut essayer d'accéder à un appareil, notamment un PC portable, pour s'introduire sur un réseau et voler des données. La protection des points de terminaison surveille l'activité en provenance et à destination d'un appareil, et prend rapidement des mesures en cas d'événement suspect.
Effacement des données
Il est tout aussi important d'éliminer correctement les données que de bien les stocker. Il est probable que les réglementations en matière de protection des données et de confidentialité s'appliqueront toujours lorsqu’un contenu arrivera en fin de cycle de vie, surtout si vous êtes dans un secteur réglementé.
Vous devez effacer ou éliminer les données pour éviter qu'elles ne tombent entre de mauvaises mains. Dans le cas d’un contenu physique, cela peut signifier déchiqueter des documents ou formater un disque dur. En ce qui concerne les informations stockées sur le cloud, vous devez vous assurer d'avoir mis en place des méthodes permettant de les supprimer définitivement.
Vous devez non seulement veiller à ce que les données soient détruites ou effacées au bon moment, mais aussi à ce qu'elles ne soient pas accidentellement supprimées avant terme. Vous pouvez restreindre l'accès à certains éléments de contenu, ainsi que les personnes autorisées à les supprimer. Vous devez avoir un processus de restauration en cas de suppression accidentelle des données.
Bonnes pratiques pour garantir la confidentialité des données
Mettre en place certaines règles et « bonnes pratiques » permet de préserver la confidentialité des données personnelles et sensibles. Une façon de garantir la confidentialité des données est de limiter la quantité de données collectées. Si vous travaillez avec des clients ou des patients, réfléchissez aux informations dont vous avez besoin. Moins peut être plus lorsqu'il s'agit de protéger la vie privée.
Une autre règle à suivre est de toujours faire le point avec les personnes concernées par votre collecte de données. Certaines réglementations vous obligent à expliquer aux clients ou aux patients quelles informations vous collectez, comment vous allez les utiliser et quels sont leurs droits.
Les politiques de confidentialité sont une autre exigence légale. Votre politique doit décrire les informations que vous collectez, combien de temps vous allez les conserver, et les options dont disposent les utilisateurs.
Comment Box assure une protection de bout en bout
Box vous offre une sécurité sans faille et des fonctionnalités qui vous permettent de vous conformer facilement aux réglementations du secteur. Le Content Cloud dispose de plusieurs fonctionnalités de sécurité et de conformité conçues pour protéger vos données.
Chaque élément de contenu que vous téléchargez sur le Content Cloud est chiffré en 256 bits. Votre contenu est protégé lorsqu'il est au repos ou en transit, et vous pouvez gérer vos clés de chiffrement à l'aide de Box KeySafe.
Box vous offre également des contrôles granulaires pour les utilisateurs. Vous pouvez attribuer des autorisations aux utilisateurs en fonction de leur rôle dans l'entreprise et du degré d'accès au contenu que vous souhaitez leur accorder. Les outils d'authentification et de vérification multifactorielle permettent de garantir que seules les personnes autorisées ont accès à vos données.
Box utilise également le machine learning pour assurer la sécurité de vos données. Notre plate-forme peut détecter les menaces et prendre des mesures en temps réel pour vous permettre d'éviter une violation des données.
Apprenez-en plus sur Box aujourd'hui
Box Shield aide votre entreprise à rester agile tout en réduisant les risques. Cette solution fait partie du Content Cloud, une plate-forme sécurisée qui vous permet de rationaliser la collaboration et la gestion du contenu. Quel que soit votre secteur d'activité, Box peut vous aider à sécuriser votre contenu et à protéger les données de vos clients. Apprenez-en plus sur le Content Cloud aujourd'hui.
**Nous maintenons notre engagement ferme à offrir des produits et des services dotés des meilleures caractéristiques en matière de confidentialité, de sécurité et de conformité. Cependant, les informations fournies dans ce blog ne représentent pas un conseil juridique. Nous encourageons vivement nos prospects et nos clients à effectuer leur propre diligence raisonnable lorsqu'ils évalueront la conformité aux lois applicables.