Il est temps pour une revision du DRM: Découvertes et conclusions dans le rapport 2023 de Kiteworks sur les communications de contenu sensible

Il est temps pour une revision du DRM: Découvertes et conclusions dans le rapport 2023 de Kiteworks sur les communications de contenu sensible

La numérisation augmente les risques

Les organisations privées et publiques du monde entier sont de plus en plus dépendantes des communications numériques, rendant le besoin de mesures de cybersécurité robustes de plus en plus vital. La croissance de la communication numérique coïncide avec une augmentation des menaces cybernétiques, les États voyous, les cybercriminels et les fournisseurs de services gérés sur le marché noir concentrant leur attention sur la riche récompense offerte par le contenu sensible.

Vous croyez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?

Lire maintenant

Selon la Harvard Business Review, l’impact financier, juridique et de conformité des cyberattaques sur les données peut être dramatique. Par exemple, les frais d’audit pour les organisations sont environ 13,5% plus élevés pour les entreprises qui ont subi une violation de données par rapport à celles qui n’en ont pas subi. Et il y a un impact en aval : 60% des organisations qui subissent une violation de données ont augmenté leurs prix. Pour les entreprises cotées en bourse, l’impact est mesurable : celles qui ont subi une violation de données sous-performent le NASDAQ de 8,6% après un an et de 11,9% après deux ans.

La sophistication des cyberattaques rend de plus en plus difficile la lutte contre les cybermenaces. Par exemple, une étude a révélé que 80% des groupes de menaces et 40% des logiciels malveillants en 2021 n’avaient pas été observés auparavant. Il devient de plus en plus difficile, par conséquent, de bloquer ces attaques.

Augmentation des violations de données sensibles

Surfant sur cette vague malveillante, le vol de contenu sensible augmente à un rythme alarmant. Le rapport M-Trends 2023 de Mandiant met en évidence une augmentation alarmante de 37% des incidents de vol de données sur un an, passant de 29% à 40%. De plus, plus de 3 500 groupes de menaces, dont 900 nouveaux en 2022, font partie de ces attaques, qui impliquent le décodage et la suppression de fichiers dans plus d’un quart des incidents. Le dernier Rapport sur la confidentialité et la conformité des communications de contenus sensibles de Kiteworks a identifié les attaques par mot de passe et par accrédition, la manipulation d’URL et le déni de service comme les vecteurs d’attaque les plus fréquents sur les communications de contenus sensibles.

Le Rapport 2023 sur les enquêtes de violation de données de Verizon souligne la prédominance des données personnelles dans ces attaques, avec plus de la moitié des violations impliquant des informations personnellement identifiables (PII) et des informations de santé protégées (PHI). En termes de vecteurs d’attaque, le courrier électronique, suivi de près par les applications web et les solutions de partage de bureau, reste un problème de sécurité majeur pour les organisations, avec près de 60% des attaques d’ingénierie sociale étant du prétextage et liées à la compromission des courriels professionnels (BEC).

Certaines violations de données sont involontaires

Le paysage croissant des cybermenaces n’est pas seulement façonné par les actions de ces mauvais acteurs. L’erreur humaine joue un rôle substantiel dans l’exposition du contenu sensible. Le rapport de Verizon suggère que 43% des violations de données impliquent une mauvaise livraison de données, tandis que 23% se produisent en raison d’erreurs de publication, diffusant involontairement des données au mauvais public. Ces résultats proviennent d’instances où les courriels et les fichiers sont envoyés ou partagés avec le mauvais destinataire ou les mauvais destinataires, et les utilisateurs non autorisés ont accès à des dossiers, fichiers et données de formulaires Web sensibles.

L’essor des réglementations sur la confidentialité des données

Parallèlement à l’augmentation des coûts des piratages de données sensibles, l’accent est mis sur les réglementations mondiales sur la confidentialité des données. Celles-ci vont des normes de confidentialité des données aux références en matière de cybersécurité, imposant des exigences de conformité strictes aux entreprises opérant dans diverses juridictions.

Par exemple, le Règlement général sur la protection des données (RGPD) de l’Union européenne, depuis sa mise en œuvre en 2018, est devenu l’une des réglementations les plus strictes du monde en matière de données personnelles. Il s’étend à 27 États membres de l’UE et prévoit des sanctions importantes en cas de non-conformité. Cependant, le RGPD n’est pas le seul. Actuellement, 157 pays ont d’importantes réglementations nationales sur la protection des données, ce qui représente une augmentation significative par rapport aux 145 pays juste 15 mois auparavant.

Les États-Unis, bien qu’ils ne disposent pas d’une réglementation nationale similaire au RGPD, imposent des exigences strictes de protection des informations de santé (PHI) en vertu de la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA). De plus, plusieurs États américains ont introduit leurs propres réglementations suite à l’adoption de la Loi sur la confidentialité des consommateurs de Californie (CCPA) en 2018. Tout cela ajoute à la complexité des réglementations auxquelles les entreprises doivent se conformer.

Les entreprises contractantes gouvernementales, notamment celles basées aux États-Unis, sont soumises à des réglementations supplémentaires. Le Programme fédéral de gestion des risques et des autorisations (FedRAMP) a standardisé les pratiques de cybersécurité pour les services cloud pour tous les organismes gouvernementaux américains et les entrepreneurs. La Certification de maturité en matière de cybersécurité (CMMC) 2.0 exige désormais que plus de 300 000 membres de la Base industrielle de défense (DIB) se conforment à l’un des trois niveaux de maturité en fonction de leurs contrats avec le département de la Défense (DoD), visant à protéger l’information non classifiée contrôlée (CUI) et l’information contractuelle fédérale (FCI).

Portée du rapport 2023 sur la confidentialité et la conformité des communications de contenu sensible

Dans ce contexte, Kiteworks a lancé un rapport annuel en 2022–sonRapport sur la confidentialité et la conformité des communications de contenu sensible. Le rapport de l’année dernière a mis en avant de nombreuses perspectives utiles pour l’industrie. Par exemple, plus de la moitié des organisations ne sont pas suffisamment protégées contre les risques de sécurité et de conformité de tiers liés aux communications de contenu sensible. Les raisons de ces échecs peuvent être liées à un manque de contrôles d’encryption et de gouvernance, ainsi qu’à une déclaration de conformité inexacte et insuffisante. Le rapport 2022 a également révélé que deux tiers des organisations utilisent plus de quatre outils de communication de contenu sensible différents. La liste des conclusions pourrait continuer.

Le rapport de l’année dernière a sondé plus de 400 professionnels de l’informatique, de la sécurité, du risque et de la conformité dans sept secteurs industriels. Pour 2023, nous avons augmenté le nombre de participants à l’enquête à plus de 781 individus dans 13 industries à travers 15 pays et quatre continents. Comme mentionné ci-dessus, la divulgation des données personnelles identifiables (PII), des informations de santé protégées (PHI), des données de transactions, des informations financières de l’entreprise, de la propriété intellectuelle (PI), des informations non publiques sur les fusions et acquisitions, et des affaires juridiques peut être désastreuse pour la plupart des organisations. Pour gérer l’exposition des données intentionnelle et involontaire et le non-respect des réglementations, les organisations se tournent vers la gestion des droits numériques (DRM). Ces aspects et d’autres sont explorés en détail ci-dessous.

Déballer la complexité du paysage de communication d’aujourd’hui

L’augmentation exponentielle des interactions avec des tiers est une préoccupation de sécurité significative pour les organisations. Le rapport révèle que 90% des organisations ont partagé du contenu avec plus de 1 000 entités externes en 2023, un bond significatif par rapport à 63% l’année précédente. De plus, 44% partagent maintenant du contenu avec plus de 2 500 tiers. Ce vaste réseau d’interactions avec des tiers traverse des organisations de différentes tailles et secteurs industriels, soulignant l’universalité du problème.

Aggravant encore le problème, l’utilisation des canaux de communication pour transmettre du contenu sensible est en augmentation. Avec 50% des organisations déployant six outils ou plus pour les communications de contenu sensible, la tâche de suivi et de sécurisation des échanges de contenu devient de plus en plus complexe. Cette complexité nécessite l’allocation de ressources substantielles, entraînant des coûts plus élevés et un paysage de conformité plus difficile.

Lacunes dans la maturité de la sécurité

Le rapport met en lumière un écart flagrant entre les efforts de sécurité actuels des organisations et ce qui est nécessaire pour une gestion efficace du contenu sensible. Un maigre un peu plus d’un quart des répondants considèrent que leurs mesures de sécurité et leurs pratiques de gestion sont adéquates. Les organisations reconnaissent les risques inhérents associés à divers canaux, y compris le courrier électronique, le partage de fichiers, les applications mobiles et les API.

Le nombre d’incidents ciblant spécifiquement la communication de contenu sensible est inquiétamment élevé, avec plus de 80% des organisations signalant quatre exploits ou plus au cours de l’année écoulée. L’impact financier et de conformité de ces attaques a été sévère, avec plus de 60% signalant des répercussions financières, 44% signalant un impact sur la marque, et 42% subissant des coûts de conformité et juridiques.

Difficultés à respecter les exigences de conformité

La conformité continue d’être un obstacle important, les organisations consacrant des ressources substantielles pour respecter des normes réglementaires telles que le GDPR, PIPEDA, PCI DSS

, et HIPAA, entre autres. Bien que les répondants montrent une compréhension des meilleures pratiques, il existe un écart significatif dans l’application de ces pratiques.

Seule une petite fraction des organisations a réussi à étendre le suivi, l’enregistrement et le contrôle d’accès aux contenus sensibles à tous les utilisateurs, départements, types de contenus et tiers. Par conséquent, seulement 27% des répondants estiment que leur gestion des risques de conformité est sous contrôle. Les 73% restants estiment qu’il est nécessaire de procéder soit à une refonte complète de leur approche, soit à des améliorations significatives

Réaliser la promesse de la gestion des droits numériques

Malgré les défis, le rapport identifie une lueur d’espoir sous la forme de la gestion des droits numériques (DRM). La DRM est considérée comme une solution prometteuse à ces problèmes, mettant l’accent sur la classification du contenu sensible, sa segmentation en fonction du risque, et le contrôle de l’accès en fonction des rôles et des géographies.

Bien que l’adoption ait été lente, la plupart des organisations comprennent l’importance de la DRM et alignent progressivement leurs stratégies en conséquence. Nous pensons qu’un “recommencement” est nécessaire. Malgré les défis en matière de déploiement, tels que la nécessité d’une intervention d’un agent pour les fichiers non cryptés avec des tiers et des contrôles personnalisables pour différents utilisateurs et types de contenu, la DRM gagne progressivement du terrain comme méthode préférée.

Le rapport souligne également la valeur de l’adhésion aux normes de l’industrie comme le Cadre de cyber-sécurité du National Institute of Standards and Technology (NIST). Le respect de ces normes peut faciliter l’adoption de la DRM, en garantissant une protection plus robuste contre les cyber-menaces.

Rôle crucial des partenaires technologiques dans la protection des communications de contenu sensible

Les organisations publiques et sectorielles cherchant à combattre les menaces cybernétiques doivent trouver les bons partenaires technologiques. Pour les communications de contenu sensible, les répondants à l’enquête recherchent des fonctionnalités de sécurité robustes, telles que le chiffrement automatique de bout en bout, le DRM et le suivi et le reporting de conformité. Ils recherchent également des solutions qui leur permettent de consolider leurs outils et systèmes de communication disparates pour réduire les CapEx et OpEx. Cela leur fait gagner un temps précieux et des ressources pour compiler des pools de données disparates capturés à travers plusieurs outils de communication, supposant que ces outils capturent même les données nécessaires pour démontrer l’adhérence à la réglementation de conformité associée.

Lorsque les organisations unifient leurs outils de communication sur une seule plateforme, elles peuvent établir des politiques uniformes pour suivre et contrôler les communications de contenu sensible en conformité avec les réglementations industrielles et gouvernementales tout en appliquant une approche de sécurité unifiante. Cela réduit à la fois leurs risques de sécurité et de conformité.

Évaluations pessimistes et optimistes des communications de contenu sensible dans le rapport

Le rapport de cette année présente à la fois une image inquiétante et prometteuse. D’une part, les communications de contenu sensible restent un défi. Les organisations sont confrontées à un risque accru en raison de l’augmentation du nombre d’outils de communication qu’elles utilisent et de la diversité des tiers avec lesquels elles envoient et partagent des informations. Il n’est pas surprenant que plus des trois quarts ne suivent et ne contrôlent pas encore les communications de contenu sensible à la fois sur site et dans le cloud ainsi que dans tous les départements et utilisateurs. Ces problèmes, ainsi qu’une sophistication croissante des cyberattaques, rendent les exploits inévitables – et un impact significatif se fait sentir. Face aux contraintes financières et à la pénurie de compétences en cybersécurité, il est impossible de consacrer plus de ressources et de budget aux problèmes attribués – en supposant que cela fonctionnerait même.

D’autre part, le rapport révèle que les dirigeants et les praticiens priorisent les solutions pour résoudre ces problèmes. Celles-ci se regroupent autour de quatre actions différentes :

1. Approche holistique de la conformité

Alors que différentes juridictions, y compris divers États aux États-Unis, introduisent une mosaïque de nouvelles réglementations, les organisations doivent déplacer leur attention. Dans cette ère émergente de conformité, l’accent ne doit plus être mis sur le fait de cocher les cases de chaque règle individuelle. Au lieu de cela, les organisations doivent adopter des meilleures pratiques universelles, qui assurent l’adhésion à toutes les réglementations. Nous proposons d’adopter un cadre complet tel que le NIST CSF, en travaillant vers une conformité absolue avec tous ses aspects. Une telle approche culmine naturellement dans le DRM.

2. Résurgence du DRM

Les organisations doivent adopter une méthode complète pour catégoriser méticuleusement les données, en s’assurant que chaque catégorie est facilement accessible à ceux qui en ont besoin pour leurs tâches spécifiques tout en restreignant l’accès à tous les autres. Cette approche est cruciale pour une bonne gestion des données.

3. Protection contre les menaces internes

Près d’un cinquième des violations de données sont causées par des employés ou d’autres individus ayant accès aux systèmes internes. En classifiant et en segmentant méticuleusement les données, et en limitant l’accès en fonction de rôles spécifiques, les organisations peuvent se protéger contre l’exposition intentionnelle et non intentionnelle des données de l’intérieur.

4. Protections de sécurité

Les cybercriminels et les États illicites sont parfaitement conscients de la valeur des informations sensibles et cherchent à exploiter toute faiblesse ou lacune dans les mesures de sécurité des outils de communication utilisés pour distribuer ces informations. Par conséquent, il est crucial de comprendre et d’examiner les fonctionnalités de sécurité de vos outils de communication. L’utilisation des priorités clés mises en évidence dans ce rapport comme référence pour ces revues pourrait servir de point de départ efficace.

Focus sur DRM, NIST CSF, et plus encore en 2023

Le rapport Kiteworks 2023 offre un aperçu approfondi des défis et des opportunités dans l’environnement de sécurité complexe actuel. Avec un nombre croissant de tiers impliqués dans le partage de contenu sensible, les organisations doivent intensifier leurs efforts de sécurité pour protéger leurs ressources numériques.

Malgré la tâche intimidante de parvenir à une sécurité optimale, il y a de l’optimisme avec l’arrivée de technologies comme le DRM et le NIST CSF. En exploitant ces outils et en s’alignant sur le bon fournisseur de technologie, les organisations peuvent garantir la sécurité de leurs communications sensibles, maintenir la conformité et finalement prospérer dans un monde de plus en plus interconnecté.

Les conclusions du rapport soulignent l’importance cruciale de sécuriser la communication de contenu sensible à notre époque numérique. Compte tenu de la nature du contenu partagé et de sa large distribution, les organisations doivent mettre en place des mesures fortes pour se protéger contre les menaces cybernétiques en constante évolution.

La sécurisation de la communication de contenu sensible est sans aucun doute chargée d’obstacles. Cependant, avec la bonne technologie, une planification stratégique, un cadre de sécurité et une gouvernance, les organisations peuvent surmonter ces défis. Le rapport agit finalement comme un guide pour les entreprises à travers le monde, les incitant à prendre des mesures distinctes pour protéger leurs communications sensibles au milieu d’un paysage numérique en constante évolution.

Lisez le rapport complet 2023 sur la confidentialité et la conformité des communications de contenu sensible en téléchargeant une copie aujourd’hui. Cliquez ici.

Ressources supplémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks