Gardez le contrôle de votre contenu le plus sensible avec un nuage privé ou sur site
Toute personne ayant déjà fabriqué et vendu un produit sur un marché concurrentiel attestera de la vérité de l’adage de Benjamin Franklin : “l’amertume d’une mauvaise qualité persiste bien après que le plaisir d’un bas prix est oublié”. Le désir de dépenser moins et d’économiser plus est essentiellement un instinct de survie. En affaires, économiser de l’argent pourrait vous faire promouvoir. Cependant, en cybersécurité, économiser de l’argent pourrait vous faire licencier.
Les menaces liées aux flux de travail de tiers ont un thème commun : un utilisateur est l’acteur, et un fichier est l’agent. Une protection complète nécessite une défense qui couvre toute l’étendue de la surface de menace associée : les chemins collectifs de tous les fichiers entrant et sortant de votre organisation. Une défense complète implique de sécuriser, de surveiller et de gérer tous les flux de travail de tiers, y compris le courrier électronique sécurisé, le SFTP, et le partage de fichiers sécurisé, entre autres.
Dans mon dernier article de blog, j’ai examiné comment unifier l’accès aux dépôts de contenu d’entreprise offre un point de contrôle de sécurité interne vous permettant de protéger les informations les plus précieuses de votre organisation. Dans cet article, j’expliquerai pourquoi il faut résister à l’attrait du stockage en nuage à faible coût lorsqu’il s’agit de stocker des informations hautement sensibles.
Quelle est la valeur de vos données sensibles ?
Si vous saviez que vos données sensibles valent un milliard de dollars, dépenseriez-vous un milliard de dollars pour les protéger ? Est-il même possible de quantifier la valeur de vos données sensibles ? Peut-être est-il plus facile d’estimer le coût d’une violation de données. Avant de répondre, considérez tout ce qui entre dans la remédiation d’une violation de données. La forensique, le conseil juridique, les relations publiques, et les amendes réglementaires ne sont que quelques-uns des coûts associés. Il y a beaucoup de subjectivité dans l’estimation d’un coût, cependant, un rapport de 2019 projette qu’une violation de données coûte en moyenne à une entreprise environ 3,9 millions de dollars. Pour les entreprises de santé, la dépense est presque le double : 6,5 millions de dollars. (En revanche, un autre rapport cite le coût moyen d’une violation de données dans le secteur public à 2,3 millions de dollars.)
À ces estimations, une violation de données peut être catastrophique pour les petites entreprises. Alors que les grandes organisations sont mieux équipées pour naviguer dans une violation de données de plusieurs millions de dollars, les dommages à plus long terme, y compris les litiges collectifs et la perte de revenus due au contrecoup des consommateurs, peuvent s’avérer insurmontables.
On en a pour son argent
Une solution de stockage en nuage public à faible coût peut sembler attrayante, mais les apparences peuvent être trompeuses. Pour mettre une tournure moderne, moins éloquente, sur l’axiome de Franklin, “on en a pour son argent”. Les solutions de stockage en nuage public sont généralement conçues pour la flexibilité et la fonctionnalité, plutôt que pour la sécurité ou la confidentialité. De plus, les petites et moyennes entreprises externalisent la gestion et la maintenance du stockage en nuage à un fournisseur de services de sécurité gérés (MSSP) ou à un courtier en sécurité d’accès au nuage (CASB). Lorsque ces prestataires de services tiers oublient d’activer les capacités de sécurité de base, ils exposent le contenu à toute personne disposant d’une connexion internet. Malheureusement, ces violations de données dues à une mauvaise configuration ont exposé les informations personnelles identifiables et les informations médicales protégées de millions de personnes dans plusieurs violations de grande envergure.
Les pirates ne sont pas les seuls à essayer d’accéder aux informations sensibles stockées sur les serveurs de nuage public. La loi américaine Federal Cloud Act de 2018 permet aux agences de la loi américaines de réclamer aux entreprises de technologie l’accès aux données stockées sur leurs serveurs, que ces données soient stockées aux États-Unis ou à l’étranger. En clair, si vos données sensibles sont stockées sur un nuage public, elles peuvent être collectées en masse sans votre connaissance ou votre approbation.
Prenez le contrôle total de vos données sensibles
Heureusement, les entreprises ont plusieurs options de déploiement pour sécuriser leurs données sensibles et chacune est nettement plus sécurisée qu’une option de nuage public. Avec un nuage privé, un nuage privé virtuel FedRAMP, ou un déploiement sur site, les entreprises protègent les données sensibles comme les dossiers de clients, les états financiers et la propriété intellectuelle contre l’accès non autorisé. Des fonctionnalités et capacités de sécurité essentielles comme le chiffrement des données et la propriété des clés de chiffrement garantissent que seuls les utilisateurs autorisés ont accès à vos précieux actifs numériques.
Gérer votre propre système n’a pas à être difficile ou coûteux non plus. La plupart des organisations ont suffisamment d’expertise en informatique pour gérer un nuage privé ou sur site par elles-mêmes et atteindre des économies d’échelle efficaces en temps opportun.
Maintenant que vous connaissez les risques associés au stockage de vos informations sensibles dans un nuage public, il est temps d’explorer les tenants et aboutissants de la sécurisation de ces données. La prochaine fois, je discuterai de l’importance de chiffrer votre contenu sensible en transit et au repos.
Pour en savoir plus sur la façon de construire une défense holistique de la surface de menace du flux de travail de tiers, planifiez une démonstration personnalisée de Kiteworks aujourd’hui.
Ressources supplémentaires
- GlossaireGestion des risques de sécurité
- Article de blogComprendre la sécurité des données et le RGPD
- GlossaireGestion des risques de tiers
- Article de blogGuide de la gouvernance de la sécurité de l’information et de la sécurité
- GlossaireGestion des risques de cybersécurité