Qu’est-ce que la protection des données ?
Apprenez à protéger vos données où qu’elles se trouvent, et à gérer les données sensibles et critiques pour l’entreprise au sein de votre environnement.
Défini pour la protection des données
Le terme « protection des données » désigne les stratégies et processus de sécurité qui permettent de prévenir l’altération, la compromission et la perte de données sensibles. Les violations de données et les incidents liés à la perte de données comptent parmi les menaces qui pèsent sur les données sensibles.
Une violation de données est la conséquence d’un accès non autorisé aux informations, au réseau ou aux appareils d’une organisation, suite à une cyberattaque, à des menaces internes ou à une erreur humaine, par exemple. Outre les données qu’elle a perdues, votre organisation peut être passible d’amendes pour non-respect des règles de conformité, faire l’objet de poursuites judiciaires pour divulgation d’informations personnelles, et la réputation de votre marque peut être ternie pour longtemps.
Un incident lié à la perte de données est une interruption intentionnelle ou accidentelle des activités normales de votre organisation (par exemple, perte ou vol d’un ordinateur portable, altération d’un logiciel ou infiltration d’un virus informatique dans votre réseau). Le fait de mettre en place une stratégie de sécurité et de former vos collaborateurs à l’identification des menaces et à la manière d’y répondre (ou de ne pas y répondre) est essentiel à votre stratégie de protection des données.
Principes clés de la protection des données
Les deux principes clés de la protection des données sont la disponibilité et la gestion des données.
La disponibilité des données permet à vos collaborateurs d’accéder aux données dont ils ont besoin pour accomplir leurs activités quotidiennes. En veillant à la disponibilité des données, vous contribuez au plan de continuité et de reprise d’activité de votre organisation. Celui-ci est un composant important de votre plan de protection des données qui repose sur des copies de sauvegarde stockées dans un emplacement distinct. L’accès à ces copies permet de réduire les temps d’arrêt de vos collaborateurs et d’assurer la continuité de leurs activités.
La gestion des données englobe la gestion du cycle de vie des données et la gestion du cycle de vie des informations.
- La gestion du cycle de vie des données couvre la création, le stockage, l’utilisation et l’analyse des données, ainsi que leur archivage ou leur destruction. Ce cycle de vie permet de s’assurer que votre organisation respecte les réglementations en vigueur et que vous ne stockez pas de données inutilement.
- La gestion du cycle de vie des informations est une stratégie de catalogage et de stockage des informations dérivées des jeux de données de votre organisation. Elle a pour but de déterminer le degré de pertinence et d’exactitude des informations.
En quoi la protection des données est-elle importante ?
La protection des données permet de prévenir le vol, la fuite et la perte de données. Il s’agit d’utiliser des stratégies de protection des données personnelles qui respectent les règles de conformité et d’éviter de nuire à la réputation de votre organisation.
Une stratégie de protection des données comprend la surveillance et la protection des données de votre environnement, et l’application d’un contrôle continu sur la visibilité de ces données et l’accès à celles-ci.
L’élaboration d’une stratégie de protection des données permet à votre organisation de déterminer sa tolérance au risque pour chaque catégorie de données et de se conformer aux réglementations en vigueur. Cette stratégie vous permet également de définir vos règles d’authentification et d’autorisation, c’est-à-dire de déterminer qui doit avoir accès à quelles informations et pourquoi.
Types de solutions de protection des données
Les solutions de protection des données vous permettent de surveiller les activités internes et externes, de signaler les comportements suspects ou risqués en matière de partage des données et de contrôler l’accès aux données sensibles.
-
Protection contre la perte de données
La protection contre la perte de données est une solution de sécurité qui permet à votre organisation d’empêcher le partage, le transfert ou l’utilisation de données sensibles par le biais d’actions telles que la surveillance des informations sensibles au sein de votre patrimoine de données. Elle permet également de garantir votre conformité aux exigences réglementaires, comme la loi américaine HIPAA (Health Insurance Portability Accountability Act) et le RGPD (Règlement général sur la protection des données) de l’Union européenne (UE).
-
Réplication
La réplication assure en continu la copie des données d’un emplacement vers un autre afin de créer et de stocker une copie à jour de vos données. Elle permet un basculement vers ces données en cas de défaillance du système principal. En plus de vous protéger contre la perte de données, la réplication permet aux utilisateurs autorisés d’accéder rapidement aux données à partir du serveur le plus proche. Le fait de disposer d’une copie complète des données de votre organisation permet également à vos équipes d’effectuer des analyses sans interférer avec les besoins quotidiens.
-
Stockage avec protection intégrée
Une solution de stockage doit assurer la protection des données, mais également vous permettre de récupérer les données qui ont été supprimées ou modifiées. Par exemple, plusieurs niveaux de redondance permettent de protéger vos données contre les interruptions de service, les problèmes de matériel et les catastrophes naturelles. Le contrôle de version conserve les états antérieurs de vos données lorsqu’une opération de remplacement crée une nouvelle version. Configurez un verrou (lecture seule ou suppression impossible, par exemple) sur vos comptes de stockage afin de les protéger de toute suppression accidentelle ou malveillante.
-
Pare-feu
Un pare-feu permet de veiller à ce que seuls les utilisateurs autorisés aient accès aux données de votre organisation. Il surveille et filtre le trafic réseau en se basant sur vos règles de sécurité, et contribue à bloquer les menaces telles que les virus et les tentatives d’attaque par rançongiciel. Les paramètres du pare-feu comprennent généralement des options permettant de créer des règles de trafic entrant et sortant, de spécifier des règles de sécurité pour les connexions, d’afficher les journaux de surveillance et de recevoir des notifications lorsque le pare-feu bloque une menace.
-
Recherche de données
La recherche de données est un processus qui consiste à localiser les jeux de données présents au sein de votre organisation dans les centres de données, sur les ordinateurs portables et de bureau, sur les divers appareils mobiles et sur les plateformes cloud. L’étape suivante consiste à classer vos données par catégories (par exemple, à les marquer comme étant restreintes, privées ou publiques) et à vérifier qu’elles sont conformes à la réglementation.
-
Authentification et autorisation
Les contrôles d’authentification et d’autorisation vérifient les informations d’identification des utilisateurs et confirment que les privilèges d’accès sont correctement attribués et appliqués. Le contrôle d’accès en fonction du rôle est un exemple d’accès réservé aux personnes qui en ont besoin pour effectuer leur travail. Il peut être utilisé conjointement avec la gestion des identités et des accès pour contrôler ce à quoi vos collaborateurs peuvent ou ne peuvent pas accéder afin de mieux sécuriser les ressources de votre organisation (comme les applications, les fichiers et les données).
-
Sauvegarde
Les sauvegardes entrent dans la catégorie de la gestion des données. Vous pouvez définir leur fréquence comme vous le souhaitez (par exemple, sauvegardes complètes toutes les nuits et sauvegardes incrémentielles tout au long de la journée), et elles vous permettent de restaurer rapidement les données perdues ou altérées afin de réduire les temps d’arrêt. Une stratégie de sauvegarde classique consiste à enregistrer plusieurs copies de vos données, et à stocker une copie complète sur un serveur distinct et une autre dans un emplacement hors site. Votre stratégie de sauvegarde doit être conforme à votre plan de récupération d’urgence.
-
Chiffrement
Le chiffrement permet de préserver la sécurité, la confidentialité et l’intégrité de vos données. Il est utilisé sur les données au repos ou en mouvement afin d’empêcher les utilisateurs non autorisés de visualiser le contenu du fichier même s’ils ont accès à son emplacement. Le texte en clair est transformé en texte chiffré illisible (en d’autres termes, les données sont converties en code) qui nécessite une clé de déchiffrement pour être lu ou traité.
-
Récupération d’urgence
La récupération d’urgence est un élément de la Sécurité de l’information (InfoSec) qui se concentre sur la façon dont les organisations utilisent les sauvegardes pour restaurer les données et rétablir des conditions de fonctionnement normales après un sinistre (par exemple, une catastrophe naturelle, une panne matérielle à grande échelle ou une cyberattaque). Il s’agit d’une approche proactive qui permet votre organisation de réduire l’impact des événements imprévisibles et de réagir plus rapidement aux interruptions planifiées ou imprévues.
-
Protection des points de terminaison
Les points de terminaison sont des appareils physiques (appareils mobiles, ordinateurs de bureau, machines virtuelles, périphériques intégrés ou serveurs) qui se connectent à un réseau. La protection des points de terminaison permet à votre organisation de surveiller ces appareils et de se protéger contre les acteurs de la menace qui recherchent les vulnérabilités ou les erreurs humaines et exploitent les failles de sécurité.
-
Instantanés
Un instantané est une vue de votre système de fichiers à un moment donné. Il conserve cette vue et assure le suivi de toutes les modifications apportées ultérieurement. Cette solution de protection des données fait référence aux baies de stockage qui utilisent un ensemble de disques plutôt que des serveurs. Les baies créent généralement un catalogue qui indique l’emplacement des données. Un instantané copie une baie et met les données en lecture seule. De nouvelles entrées sont créées dans le catalogue tandis que les anciens catalogues sont conservés. Les instantanés comprennent également les configurations du système pour récupérer les serveurs.
-
Effacement des données
L’effacement consiste à supprimer les données stockées dont votre organisation n’a plus besoin. Ce processus est également connu sous le nom de suppression des données et constitue souvent une exigence réglementaire. Conformément au RGPD, chaque personne a le droit de demander l’effacement de ses données personnelles. Ce droit à l’effacement est également appelé « droit à l’oubli ».
Protection, sécurité et confidentialité
Ces termes peuvent sembler interchangeables, mais la protection des données, la sécurité des données et la confidentialité des données sont des notions distinctes qui ont chacune un objectif différent. La protection des données englobe les stratégies et processus utilisés par votre organisation pour prévenir l’altération, la compromission et la perte de données sensibles. La sécurité des données concerne l’intégrité de vos données et vise à les protéger de toute altération par des utilisateurs non autorisés ou des menaces internes. La protection des données contrôle qui a accès à vos données et détermine ce qui peut être partagé avec des tiers.
Meilleures pratiques en matière de protection des données
En matière de protection des données, les meilleures pratiques consistent à élaborer des plans et des stratégies qui vous permettent de contrôler l’accès à vos données, de surveiller l’activité du réseau et les utilisations, et à répondre aux menaces internes et externes.
-
Restez au fait des exigences réglementaires
Un plan de gouvernance complet identifie les exigences réglementaires et la façon dont elles s’appliquent aux données de votre organisation. Vérifiez que vous disposez d’une bonne visibilité sur l’ensemble de vos données et classez-les correctement. Assurez-vous que vous respectez les règles de confidentialité de votre secteur.
-
Limitez l’accès
Le contrôle d’accès utilise l’authentification pour vérifier que les utilisateurs sont bien ceux qu’ils prétendent être, et l’autorisation pour déterminer les informations qu’ils sont autorisés à voir et à utiliser. En cas de violation de données, le contrôle d’accès est l’une des premières stratégies à examiner pour déterminer si elle a été correctement mise en œuvre et appliquée.
-
Créez une stratégie de cybersécurité
Une stratégie de cybersécurité définit et oriente les activités informatiques au sein de votre organisation. Elle sensibilise vos collaborateurs aux menaces courantes qui pèsent sur vos données et les aide à être plus vigilants en matière de sécurité. Elle peut également clarifier vos stratégies de protection et promouvoir une culture d’utilisation responsable des données.
-
Surveillez l’activité
Une surveillance et des tests en continu permettent d’identifier les risques potentiels. Utilisez l’IA et automatisez vos tâches de surveillance des données pour repérer rapidement et efficacement les menaces. Ce système d’alerte précoce vous avertit des problèmes potentiels qui pèsent sur les données et la sécurité avant que ceux-ci ne provoquent des dommages.
-
Élaborez un plan de réponse aux incidents
L’élaboration d’un plan de réponse aux incidents avant la survenue d’une violation de données vous préparera à prendre les mesures nécessaires. Ce plan aidera l’équipe d’intervention (par exemple, le responsable informatique, le responsable de la sécurité de l’information et le responsable des communications) à préserver l’intégrité de vos systèmes et permettra à votre organisation de reprendre ses activités dans les meilleurs délais.
-
Identifiez les risques
Vos collaborateurs, fournisseurs, sous-traitants et partenaires disposent d’informations sur vos données, vos systèmes informatiques et vos pratiques en matière de sécurité. Pour identifier les accès non autorisés aux données et protéger celles-ci des usages malveillants, vous devez savoir quelles sont les données dont vous disposez et comment elles sont utilisées au sein de votre patrimoine numérique.
-
Renforcez la sécurité du stockage des données
La sécurité du stockage des données repose sur des méthodes telles que le contrôle d’accès, le chiffrement et la sécurité des points de terminaison pour préserver l’intégrité et la confidentialité des données stockées. Elle atténue également le risque de dommages intentionnels ou non, et garantit une disponibilité en continu de vos données.
-
Formez vos collaborateurs
Qu’ils soient intentionnels ou non, les risques internes sont l’une des principales causes de violation de données. Communiquez clairement vos stratégies de protection des données à tous les niveaux afin d’aider vos collaborateurs à s’y conformer. Mettez l’accent sur la formation, avec des sessions régulières de remise à niveau et des conseils lorsque des problèmes spécifiques se posent.
Conformité et législation en matière de protection des données
Chaque organisation doit se conformer aux normes, lois et réglementations en vigueur en matière de protection des données. Celles-ci vous obligent notamment à ne collecter auprès de vos clients ou collaborateurs que les informations dont vous avez besoin, à les conserver de façon sécurisée et à les détruire de manière appropriée. Voici quelques exemples de lois relatives à la confidentialité.
Le RGPD est la réglementation la plus stricte en matière de confidentialité et de sécurité des données. Elle a été rédigée et adoptée par l’UE, mais les organisations du monde entier sont tenues de s’y conformer si elles ciblent ou collectent des données à caractère personnel auprès de citoyens ou de résidents de l’UE, ou si elles leur proposent des biens et des services.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA - California Consumer Privacy Act) contribue à garantir le droit à la vie privée des consommateurs californiens, notamment le droit de savoir quelles informations personnelles sont collectées par une entreprise et de quelle manière celles-ci sont utilisées et partagées, le droit de supprimer les informations personnelles collectées auprès d’eux et le droit de refuser la vente de leurs informations personnelles.
L’HIPAA est une loi américaine qui protège les informations relatives à la santé des patients contre toute divulgation à leur insu ou sans leur consentement. La Privacy Rule de l’HIPAA, loi protégeant les informations personnelles relatives à la santé, a été publiée pour mettre en œuvre les exigences de l’HIPAA. La Security Rule de l’HIPAA contribue à protéger les informations de santé identifiables qu’un professionnel de la santé crée, reçoit, conserve ou transmet par voie électronique.
Le Gramm-Leach-Bliley Act (GLBA - également connu sous le nom de Financial Services Modernization Act of 1999) est une loi américaine qui oblige les institutions financières à informer leurs clients de leurs pratiques en matière de partage d’informations et à protéger les données sensibles.
La Federal Trade Commission est le principal organe de protection des consommateurs aux États-Unis. Le Federal Trade Commission Act déclare illégales les méthodes déloyales de concurrence ainsi que les actions ou pratiques déloyales ou trompeuses affectant le commerce.
Tendances en matière de protection des données
Alors que les stratégies et les processus évoluent, votre organisation doit être consciente de certaines tendances en matière de protection des données. Il s’agit notamment de la conformité réglementaire, de la gestion des risques et de la portabilité des données.
-
Autres réglementations sur la protection des données
Le RGPD est devenu la référence en matière de collecte, de divulgation et de conservation des données personnelles dans les autres pays. Depuis son introduction, le CCPA aux États-Unis (Californie) et la loi générale sur la protection des données personnelles au Brésil ont été mis en place pour faire face à la prolifération des achats en ligne et des offres de produits et services personnalisés.
-
Protection des données mobiles
Pour empêcher les utilisateurs non autorisés d’accéder à votre réseau, vous devez protéger les données sensibles stockées sur les appareils portables tels que les ordinateurs portables, les tablettes et les smartphones. Les logiciels de sécurité utilisent la vérification de l’identité pour empêcher la compromission des appareils.
-
Accès réduit pour les tiers
Les violations de données sont souvent imputables à des tiers (fournisseurs, partenaires et prestataires de services) qui disposent d’un accès insuffisamment limité au réseau et aux données d’une organisation. La gestion des risques liés aux tiers vient compléter les réglementations relatives à la conformité afin de limiter la manière dont les tiers accèdent aux données et les utilisent.
-
Gestion des copies de données
La gestion des copies de données détecte les données dupliquées, compare les données similaires et permet à votre organisation de supprimer les copies inutilisées. Cette solution réduit les incohérences causées par les données en double, diminue les coûts de stockage et contribue à préserver la sécurité et la conformité.
-
Portabilité des données
Au début du cloud computing, la portabilité des données et la migration de jeux de données volumineux vers d’autres environnements étaient difficiles. Aujourd’hui, la technologie cloud améliore la portabilité des données, ce qui permet aux organisations de déplacer celles-ci d’un environnement vers un autre, par exemple, d’un centre de données local vers un service cloud public, ou d’un fournisseur de services cloud vers un autre.
-
Récupération d’urgence en tant que service
La récupération d’urgence en tant que service permet aux organisations de toute taille d’utiliser des services cloud économiques pour répliquer leurs systèmes et restaurer les opérations après un événement catastrophique. Elle offre la flexibilité et la scalabilité de la technologie basée sur le cloud et est considérée comme une solution efficace pour éviter les interruptions de service.
Recherche et classification des données
La recherche et la classification des données sont des processus distincts utilisés ensemble pour fournir une visibilité sur les données de votre organisation. Un outil de recherche de données analyse l’ensemble de votre patrimoine numérique pour déterminer où se trouvent les données structurées et non structurées, ce qui est essentiel pour votre stratégie de protection des données. La classification des données organise les données issues du processus de recherche des données en fonction du type de fichier, du contenu et d’autres métadonnées. Elle permet d’éliminer les données en double, et facilite la localisation et la récupération des données.
Les données non protégées sont vulnérables. Le fait de savoir quelles données vous possédez et où elles se trouvent vous aide à les protéger tout en respectant les exigences de conformité réglementaire liées aux processus et aux contrôles des données.
Solutions de protection des données
Les solutions de protection des données permettent de se prémunir contre la perte de données. Elles englobent la sécurité, la sauvegarde et la récupération des données, en se conformant au plan de récupération d’urgence de votre organisation.
Simplifiez la façon dont votre organisation appréhende ses données sensibles. Bénéficiez d’une bonne visibilité sur l’ensemble de vos données, d’une protection plus performante dans les applications, les services cloud et les appareils, et gérez les exigences réglementaires à l’aide des solutions de Sécurité Microsoft.
En savoir plus sur la Sécurité Microsoft
Microsoft Purview
Découvrez les solutions de gouvernance, de protection et de conformité dont peuvent bénéficier les données de votre organisation.
Contribuez à prévenir la perte de données
Identifiez les partages, transferts ou utilisations de données sensibles inappropriés au niveau des points de terminaison, des applications et des services.
Protection des informations
Protégez et gérez vos données à l’aide de solutions intégrées, intelligentes, unifiées et extensibles.
Conformité des communications
Utilisez l’apprentissage automatique pour détecter les violations en matière de communication.
Forum aux questions
-
La protection des données consiste, par exemple, à se prémunir contre les dommages malveillants ou accidentels, à mettre en place une stratégie de récupération d’urgence et à limiter l’accès aux personnes qui ont vraiment besoin des données.
-
L’objectif de la protection des données est de prévenir la compromission, les dommages et la perte des données de votre organisation.
-
Le RGPD stipule que des libertés et droits fondamentaux s’appliquent à chaque personne en matière de protection de ses données personnelles. Toute organisation qui collecte des données personnelles doit obtenir le consentement explicite des personnes concernées et est tenue d’être transparente quant à l’utilisation de ces données.
-
Les outils de protection des données comprennent la recherche et l’inventaire des données, le chiffrement, l’effacement des données, la gestion des accès et la sécurité des points de terminaison.
-
Pour protéger les données, les entreprises peuvent commencer par établir une stratégie de sécurité qui définit des éléments tels que l’utilisation approuvée et le signalement des incidents. Parmi les autres mesures qu’il est important de prendre figurent la sauvegarde des données critiques, la mise à jour des logiciels et la formation des employés à la protection des données.
Suivez Microsoft 365