Accueil Cyber Sécurité Améliorer la sécurité des données pour garantir la conformité à la cybersécurité

Améliorer la sécurité des données pour garantir la conformité à la cybersécurité

81
0

Le gouvernement britannique s'apprête à suivre la nouvelle directive NIS 2 (NIS 2) qui a été récemment adoptée par l'UE. NIS 2 remplace le cadre juridique existant (directive NIS) en le modernisant pour suivre la numérisation accrue et l'évolution du paysage des menaces de cybersécurité.

Cette mesure vise à améliorer la gestion des risques de cybersécurité et les obligations de déclaration dans plusieurs nouveaux secteurs tels que l'énergie, les transports, les soins de santé, l'alimentation et la gestion des déchets.

La nouvelle directive NIS 2 élimine certaines classifications et précise que les entreprises sont soit “essentielles”, soit “importantes”, tout en utilisant une règle de plafonnement de la taille pour déterminer quelles entités entrent dans son champ d'application. On s'attend à ce que les entreprises qui doivent se conformer à la directive NIS 2 soient obligées de faire preuve d'une plus grande diligence à l'égard de leurs partenaires technologiques. Dans le cadre de ce processus d'évaluation, il est fort probable que les politiques et les processus joueront un rôle beaucoup plus important. Quelles mesures les entreprises devraient-elles prendre pour protéger leurs contre les cyberattaques et se conformer à NIS 2 ?

Protéger les nombreux points de vulnérabilité

Pour se conformer à NIS 2, il faut adopter une approche holistique qui prenne en compte tous les vecteurs de menace possibles. Les organisations ne doivent pas supposer que le simple fait que les données sur site soient sécurisées équivaut à un niveau de conformité suffisant pour répondre aux critères de NIS 2. Il faut tenir compte de l'intégrité de toutes les données sortantes et entrantes, ainsi que des données qui sont stockées dans le nuage.

Dans ce contexte, il est important de s'interroger sur les points suivants. qui est responsable en dernier ressort. pour les données dans le nuage ?

Les fournisseurs de services en nuage se sont empressés de promouvoir les capacités de sécurité en même temps que les autres avantages que sont l'évolutivité, le coût et la commodité. Pourtant, l'élément de sécurité peut être quelque peu trompeur. En effet, les conditions générales de nombreux grands fournisseurs de services en nuage comprennent une clause de “limitation de responsabilité”, qui fait reposer la responsabilité de la sécurité des données sur les épaules de l'utilisateur du nuage. Tous les utilisateurs doivent être conscients qu'ils doivent utiliser des mesures de sécurité adéquates, et dans de nombreux cas, plus strictes, lorsqu'ils stockent leurs données dans le nuage, afin de garantir l'intégrité de ces données à un plus grand nombre de parties prenantes.

En outre, il faut également tenir compte de l'intégrité des données en déplacement avec l'augmentation des options de travail flexibles pour les employés. Les pratiques de travail hybride et à distance, accélérées par Covid, sont devenues non seulement une aberration mais la norme pour beaucoup, avec 40 % des adultes britanniques travaillant à domicile au moins une fois par semaine . Cependant, le nombre de travailleurs en déplacement signifie également une augmentation correspondante du nombre d'appareils en transit. Il s'agit d'appareils qui seraient autrement conservés sur un bureau fixe, où ils peuvent être plus facilement sécurisés.

Lire aussi :  Plus de 340 millions de comptes d'utilisateurs ont été violés depuis le début de l'année

De plus, loin de la surveillance des équipes informatiques, les employés à distance peuvent être tentés d'utiliser des appareils personnels à des fins professionnelles, annulant ainsi toutes les protections qui ont été appliquées au matériel certifié. Ils peuvent travailler sur des réseaux non sécurisés dans des endroits où leurs mots de passe peuvent être piratés et, potentiellement, perdre des documents sensibles sur des appareils non cryptés entre les lieux de travail.

Les équipes informatiques sont donc davantage sollicitées pour améliorer la sécurité des données et des appareils en transit, et le personnel est davantage tenu de veiller à ce qu'aucun risque ne soit pris lorsqu'il s'agit des précieuses données de l'entreprise. Pour maximiser la protection, il est essentiel d'envisager de crypter les fichiers à la fois en transit et au repos. De cette façon, si un appareil est perdu, laissé quelque part ou volé, les informations qu'il contient ne sont pas accessibles et l'intégrité des données est garantie.

La confiance zéro &amp ; une culture consciente de la cybersécurité

Améliorer la cybersécurité pour se conformer à la NIS 2 signifie essentiellement protéger tous les points d'entrée possibles qui pourraient être utilisés par un attaquant. La création de mots de passe forts, la suppression ou la désactivation de tous les pilotes, services et logiciels superflus et l'installation automatique des mises à jour du système sont autant d'approches judicieuses. Mais, La confiance zéro devient rapidement la norme en matière de sécurité et consiste à supprimer la confiance implicite accordée aux individus, aux tâches et aux systèmes informatiques.

L'application d'une politique de confiance zéro en accord avec la politique de confiance zéro. Institut national des normes et de la technologieLe cadre de gestion des risques du NIST (National Institute of Standards and Technology), qui préconise une approche consistant à ne jamais faire confiance et à toujours vérifier toute demande d'accès aux systèmes, réduit considérablement la probabilité d'un accès non autorisé ou non authentifié de la part de l'utilisateur.

Une approche de confiance zéro garantit que tout accès à long terme aux informations est révoqué. Cela aide les entreprises à renforcer les contrôles sur leurs réseaux et exige que l'accès ne soit accordé que lorsqu'il est nécessaire.

Cela prive les attaquants de la possibilité de se répandre largement sur un réseau, ou de rester pendant de longues périodes sans être détectés, en attendant une occasion de frapper.

Lire aussi :  Les stars d'Hollywood font la grève des remplaçants humains de l'IA

Chiffrer des données précieuses pour se prémunir contre les menaces

Enfin, il est important de considérer les mesures que les entreprises peuvent prendre pour mieux protéger les données. Des outils dédiés, de la documentation et des formations aideront à atténuer les risques et à maintenir les produits et services à jour et protégés. Le cryptage sécurisé est une autre méthode, permettant de renforcer la sécurité des fichiers clés et de toutes les communications entre les applications clientes et les serveurs.

Le cryptage, même lorsqu'il est stocké dans le cloud, améliore considérablement la sécurité des fichiers de l'entreprise et peut fournir les niveaux de protection supérieurs requis. Une clé USB cryptée et authentifiée par un code PIN ou un disque dur/SSD avec une puce cryptographique sur l'appareil et un cryptage AES-XTS 256 bits offrira une intégrité complète des données, même si une action de force brute est utilisée. En outre, l'utilisation d'un appareil doté d'un microprocesseur interne certifié Critères communs EAL5+ et le cryptage des données avec une clé de cryptage AES 256 bits certifiée FIPS PUB 197 assurent une protection de niveau militaire.

L'expansion du paysage de la cybersécurité s'accompagne de nombreux nouveaux défis qui nécessitent des réponses innovantes. Se conformer à la directive NIS 2 en prenant des mesures pour adhérer aux principes de la confiance zéro, crypter les données et former le personnel à ses responsabilités contribuera à garantir une cybersécurité solide.

Que l'on travaille sur site ou hors site, une telle approche permettra d'éviter l'impact négatif durable associé aux cyberattaques et la perte d'informations précieuses, ce qui se traduira en fin de compte par des données plus sûres.

John Michael est le fondateur &amp ; PDG de iStorage

Tu pourrais aussi lire :

Explorer les avantages de la conformité continue:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel 5€ par mois ou 50€ par an. S'inscrire
  • Comptes multi-utilisateurs, d'entreprise &amp ; de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & ; Accessible


” Les fabricants sont aujourd'hui la cible privilégiée de la cybercriminalité
Article précédentVulnérabilité de Microsoft Teams : L’attaque GIFShell
Article suivantPeut-on faire confiance aux décisions de l’IA en matière de cybersécurité ?