Trace Id is missing
Passer directement au contenu principal
Sécurité Microsoft

Qu’est-ce que la sécurité des données ?

Pour assurer la sécurité de vos données, vous devez connaître leurs type et emplacement, et identifier les risques qui pèsent sur elles. Découvrez comment protéger vos données.

Définition

La sécurité des données vous permet de protéger les données sensibles tout au long de leur cycle de vie, de comprendre le contexte associé à l’activité des utilisateurs et aux données, et de prévenir l’utilisation non autorisée des données ou leur perte.

On ne saurait sous-estimer l’importance de la sécurité des données alors que les menaces pour la cybersécurité et les risques internes ne cessent de progresser. Celle-ci est nécessaire pour visualiser les types de données dont vous disposez, empêcher l’utilisation non autorisée des données, ainsi qu’identifier et atténuer les risques associés aux données. Conjointement avec la sécurité des données, la gestion de la sécurité des données guide votre organisation dans la planification, l’organisation et le contrôle des activités de sécurité des données à l’aide de stratégies et de procédures correctement rédigées.

Types

Pour être efficace, la sécurité des données doit tenir compte de la sensibilité des jeux de données et des critères de conformité réglementaire de votre organisation. Les types de sécurité des données suivants vous aident à assurer votre protection contre les violations de données, à satisfaire la réglementation et à prévenir les dommages pour votre réputation :

  • contrôle d’accès qui régit l’accès aux données locales et dans le cloud ;
  • authentification des utilisateurs à l’aide de mots de passe, de cartes d’accès ou de la biométrie ;
  • sauvegardes et récupération pour permettre l’accès aux données suite à une défaillance du système, la corruption de données ou un sinistre ;
  • résilience des données en tant qu’approche proactive de la récupération d’urgence et de la continuité d’activité ;
  • effacement des données pour les éliminer de manière appropriée et empêcher leur récupération ;
  • logiciels de masquage des données utilisant des caractères proxy pour masquer les lettres et nombres auprès des utilisateurs non autorisés ;
  • solutions de protection contre la perte de données pour offrir une protection contre l’utilisation non autorisée des données sensibles ;
  • chiffrement pour empêcher la lecture des fichiers par des utilisateurs non autorisés ;
  • protection des données pour classer les données sensibles détectées dans les fichiers et documents ;
  • gestion des risques internes pour atténuer les conséquences des activités utilisateur à risque.

Types de données devant être sécurisés

Les personnes dont la carte de crédit a été compromise ou l’identité dérobée apprécient davantage une protection des données efficace. Les pirates malveillants échafaudent continuellement de nouveaux plans pour mettre la main sur des informations personnelles, exiger une rançon pour leur restitution, les vendre ou commettre d’autres méfaits. Par ailleurs, les employés actuels et anciens étant souvent à l’origine de pertes de données, il est nécessaire pour les organisations de mettre en place une solution de gestion des risques internes.

Si chaque secteur d’activité a ses propres critères concernant les données devant être sécurisées et la manière d’y parvenir, les types de données suivants doivent généralement être protégés :

  • informations personnelles sur les employés et clients ;
  • informations financières telles que les numéros de carte de crédit, les données bancaires et les états financiers d’entreprise ;
  • données médicales telles que les soins reçus, les diagnostics et les résultats de test ;
  • propriété intellectuelle telle que les secrets de fabrication et brevets ;
  • données opérationnelles telles que des informations sur la chaîne d’approvisionnement et les processus de production.

Menaces pour la sécurité des données

Au travail et à la maison, Internet vous permet d’accéder à des comptes, des moyens de communication, ainsi que des modes de partage et d’utilisation des informations. De nombreux types de cyberattaques et risques internes peuvent exposer les informations que vous partagez à des risques.

  • Piratage

    Le piratage désigne les tentatives opérées via un ordinateur de vol de données, de corruption de réseaux ou fichiers, de prise de contrôle de l’environnement numérique d’une organisation ou de perturbation de ses données et activités. Les tentatives de hameçonnage, les programmes malveillants, les déchiffrements de code et les attaques par déni de service distribué (DDoS) sont des méthodes de piratage.

  • Programmes malveillants

    Le terme programmes malveillants désigne les vers informatiques, virus et logiciels espions dont se servent des utilisateurs non autorisés pour accéder à votre environnement. Une fois à l’intérieur, ces utilisateurs peuvent potentiellement perturber votre réseau informatique et vos appareils points de terminaison, ou s’emparer d’informations d’identification ayant été laissées dans des fichiers.

  • Rançongiciels

    Les rançongiciels sont des programmes malveillants qui bloquent l’accès à votre réseau et vos fichiers jusqu’au paiement d’une rançon. Ouvrir la pièce jointe d’un e-mail ou cliquer sur une publicité sont quelques-unes des manières dont les rançongiciels peuvent être téléchargés sur votre ordinateur. Ceux-ci sont généralement détectés lorsque vous ne parvenez pas à accéder à des fichiers ou qu’un message exigeant le paiement d’une somme apparaît.

  • Hameçonnage

    Le hameçonnage est l’acte d’inciter des individus ou organisations à communiquer des informations telles que des numéros de carte de crédit et mots de passe. L’objectif est de dérober ou d’endommager des informations sensibles en se présentant comme une entreprise respectable que la victime connaît.

  • Fuite de données

    Une fuite de données est le transfert intentionnel ou accidentel de données depuis l’intérieur d’une organisation vers un destinataire externe. Une telle opération peut être accomplie via les e-mails, l’Internet et les appareils tels que les ordinateurs portables et les dispositifs de stockage portables. Les fichiers et documents récupérés localement sont aussi une forme de fuite de données. 

  • Négligence

    La négligence désigne les événements au cours desquels un employé enfreint sciemment une stratégie de sécurité sans cherche à causer un préjudice à l’entreprise. Par exemple, il peut partager des données sensibles avec un collègue qui n’est pas autorisé à y accéder, ou se connecter à des ressources de l’entreprise via une connexion sans fil non sécurisée. Un autre exemple consiste à autoriser une personne à entrer dans un bâtiment sans qu’elle n’ait présenté de badge.

  • Escroquerie

    Les actes d’escroquerie sont commis par des utilisateurs sophistiqués cherchant à tirer parti de l’anonymat en ligne et de l’accessibilité en temps réel. Ils peuvent créer des transactions à l’aide de comptes compromis et de numéros de carte de crédit dérobés. Les organisations peuvent être victimes d’escroqueries liées à une garantie, un remboursement ou un revendeur.

  • Vol

    Le vol est une menace interne qui peut toucher des données, des fonds ou la propriété intellectuelle. Il est commis à des fins personnelles, dans le but de porter préjudice à l’organisation. Par exemple, un fournisseur connu peut vendre des numéros de sécurité sociale sur le dark web ou utiliser des informations internes sur les clients pour lancer sa propre activité.

Technologies de sécurité des données

Les technologies de sécurité des données sont des éléments clés d’une stratégie de sécurité des données plus complète. Diverses solutions de protection contre la perte de données sont disponibles pour vous permettre de détecter les activités internes et externes, de signaler les comportements suspects ou risqués en matière de partage des données et de contrôler l’accès aux données sensibles. Implémentez des technologies de sécurité des données semblables pour empêcher l’exfiltration des données sensibles.

Chiffrement des données. Utilisez le chiffrement des données (conversion des données en code) sur les données au repos ou en mouvement afin d’empêcher les utilisateurs non autorisés de visualiser le contenu du fichier même s’ils ont accès à son emplacement.

Authentification et autorisation des utilisateurs. Vérifiez les informations d’identification des utilisateurs et confirmez que les privilèges d’accès sont correctement attribués et appliqués. Le contrôle d’accès en fonction du rôle aide votre organisation à octroyer l’accès aux seules personnes qui en ont besoin.

Détection des risques internes. Identifiez les activités susceptibles de révéler la présence d’un risque ou d’une menace interne. Comprenez le contexte d’utilisation des données et déterminez quand certains téléchargements, e-mails à l’extérieur de votre organisation et fichiers renommés sont caractéristiques d’un comportement suspect.

Stratégies de protection contre la perte de données. Créez et appliquez des stratégies qui définissent la gestion et le partage des données. Spécifiez les utilisateurs, applications et environnements autorisés pour diverses activités afin d’empêcher la fuite ou le vol des données.

Sauvegarde des données. Sauvegardez une copie exacte des données de votre organisation afin que les administrateurs autorisés aient la possibilité de les restaurer en cas de défaillance du stockage, de violation de données ou de sinistre.

Alertes en temps réel. Automatisez les notifications signalant une mauvaise utilisation potentielle des données et recevez des alertes liées à des problèmes possibles de sécurité avant qu’ils n’endommagent vos données, votre réputation ou la confidentialité de vos employés et clients.

Évaluation des risques. Comprenez que vos collaborateurs, fournisseurs, sous-traitants et partenaires disposent d’informations sur vos données et pratiques en matière de sécurité. Pour empêcher le détournement des données, cernez les données dont vous disposez et leur utilisation au sein de votre organisation.

Audit des données. Gérez les principales préoccupations liées à la protection des données, leur exactitude et leur accessibilité à l’aide d’audits planifiés régulièrement. Ceux-ci vous permettront d’identifier les personnes qui utilisent vos données et de quelle façon.

Stratégies de gestion de la sécurité des données

Les stratégies de gestion de la sécurité des données incluent les stratégies, les procédures et la gouvernance qui contribuent à renforcer la sécurité de vos données.

  • Implémentez les meilleures pratiques de gestion des mots de passe

    Implémentez une solution de gestion des mots de passe facile à utiliser. Celle-ci permettra d’éliminer la nécessité d’utiliser des pense-bêtes et tableurs, et évitera aux employés de devoir mémoriser des mots de passe uniques.
    Utilisez des phrases secrètes plutôt que des mots de passe. Les phrases secrètes peuvent être plus faciles à mémoriser pour les employés et plus difficiles à deviner pour les cybercriminels.
    Activez l’authentification à 2 facteurs (2FA). Grâce à l’authentification 2FA, même si une phrase secrète ou un mot de passe a été compromis, la sécurité de connexion est maintenue car l’utilisateur non autorisé ne peut pas obtenir l’accès sans le code supplémentaire communiqué sur le deuxième appareil. 
    Changez vos mots de passe après une violation. Les changer plus souvent est considéré comme une pratique qui affaiblit les mots de passe au fil du temps.
    Évitez de réutiliser des phrases secrètes ou mots de passe. Une fois ceux-ci compromis, ils sont souvent utilisés pour accéder par effraction à d’autres comptes.

  • Créez un plan de défense

    Protégez les données sensibles. Découvrez et classez les données à grande échelle pour connaître le volume, le type et l’emplacement des informations où qu’elles résident tout au long de leur cycle de vie.
    Gérez les risques internes. Cernez l’activité des utilisateurs et l’utilisation attendue des données pour identifier les activités potentiellement à risque pouvant entraîner des incidents de sécurité des données.
    Établissez des contrôles et stratégies d’accès appropriés. Empêchez les actions telles que l’enregistrement, le stockage ou l’impression inappropriés des données sensibles.

  • Utilisez le chiffrement pour sécuriser les données

    Le chiffrement des données empêche les utilisateurs non autorisés de lire des données sensibles. Même s’ils ont accès à votre environnement de données ou consultent des données en transit, les données sont inutiles car il n’est pas possible de les lire ou de les comprendre facilement.

  • Installez les mises à jour logicielles et de sécurité

    Les mises à jour logicielles et de sécurité résolvent les vulnérabilités connues que les cybercriminels exploitent souvent pour dérober des informations sensibles. L’application des mises à jour régulières permet de corriger ces vulnérabilités et d’empêcher la compromission de vos systèmes.

  • Formez les employés à la sécurité des données

    La protection des données de votre organisation n’est pas la responsabilité de votre seul service informatique. Vous devez également entraîner vos employés à repérer les occurrences de divulgation, de vol et de corruption des données. Les meilleures pratiques en lien avec la sécurité des données sont adaptées aux données en ligne et imprimées sur papier. Une formation officielle doit être organisée régulièrement, à une fréquence trimestrielle, bi-annuelle ou annuelle.

  • Implémentez des protocoles de sécurité pour le télétravail

    Pour implémenter des protocoles de sécurité pour le personnel en télétravail, commencez par clarifier vos stratégies et procédures. Cela implique habituellement d’organiser une formation obligatoire à la sécurité et de spécifier quelles applications logicielles peuvent être utilisées et dans quelles conditions. Les protocoles doivent aussi inclure un processus de sécurisation de l’ensemble des appareils utilisés par vos collaborateurs.

Réglementations et conformité

Les organisations doivent se conformer aux normes, lois et réglementations en vigueur en matière de protection des données. Celles-ci vous obligent notamment à ne collecter auprès de vos clients ou collaborateurs que les informations dont vous avez besoin, et à vous efforcer de les conserver de façon sécurisée et de les détruire de manière appropriée. Le RGPD (Règlement Général sur la Protection des Données), la loi américaine HIPAA (Health Insurance Portability Accountability Act) et la loi CCPA (California Consumer Privacy Act) sont des exemples de lois régissant la protection des données personnelles.

Le RGPD est la réglementation la plus stricte en matière de confidentialité et de sécurité des données. Il a été rédigé et adopté par l’Union européenne (UE), mais les organisations du monde entier sont tenues de s’y conformer si elles ciblent ou collectent des données à caractère personnel auprès de citoyens ou de résidents de l’UE, ou si elles leur proposent des biens et des services.

L’HIPAA est une loi américaine qui protège les informations relatives à la santé des patients contre toute divulgation à leur insu ou sans leur consentement. La Privacy Rule de l’HIPAA, loi protégeant les informations personnelles relatives à la santé, a été publiée pour mettre en œuvre les exigences de l’HIPAA. La Security Rule de l’HIPAA contribue à protéger les informations de santé identifiables qu’un professionnel de la santé crée, reçoit, conserve ou transmet par voie électronique.

La CCPA (California Consumer Privacy Act) contribue à garantir le droit à la vie privée des consommateurs californiens, notamment le droit de savoir quelles informations personnelles sont collectées et de quelle manière celles-ci sont utilisées et partagées, le droit de supprimer les informations personnelles collectées auprès d’eux et le droit de refuser la vente de leurs informations personnelles.

Un délégué à la protection des données (DPD) est un rôle de premier plan chargé de suivre la conformité et de garantir que votre organisation gère les données personnelles conformément aux lois sur la protection des données. Par exemple, il est tenu d’informer et de conseiller les équipes en charge des questions de conformité sur le respect des dispositions de conformité, de fournir une formation au sein de l’organisation et de signaler le non-respect des dispositions légales et réglementaires.

Les violations de données résultant de manquements coûtent souvent des millions de dollars aux organisations. Elles ont souvent pour conséquence le vol d’identité, la perte de productivité et un exode des clients.

Conclusion

La sécurité des données et la gestion de la sécurité des données vous aident à identifier et évaluer les menaces pesant sur vos données, à vous conformer aux dispositions réglementaires et à maintenir l’intégrité de vos données.

Efforcez-vous de sauvegarder fréquemment vos données, de stocker une copie de votre sauvegarde au sein d’un emplacement hors site, d’établir vos stratégies de gestion de la sécurité des données et d’appliquer des phrases secrètes ou mots de passe forts et l’authentification 2FA.

Prendre des mesures de protection des données tout au long de leur cycle de vie, comprendre les modalités d’utilisation des données, empêcher les fuites de données et créer des stratégies de protection contre la perte de données sont autant de mesures stratégiques indispensables pour constituer une défense solide au sein de votre organisation.

Découvrez comment sauvegarder vos données sur l’ensemble des services cloud, applications et points de terminaison grâce aux procédures et outils de sécurité des données.

En savoir plus sur Sécurité Microsoft

Microsoft Purview

Découvrez les solutions de gouvernance, de protection et de conformité dont peuvent bénéficier les données de votre organisation.

En savoir plus

Contribuez à prévenir la perte de données

Identifiez les partages ou utilisations de données sensibles inappropriés au niveau des points de terminaison, des applications et des services.

En savoir plus

Gérez les risques internes

Découvrez comment identifier les risques potentiels dans les activités de vos employés et fournisseurs.

En savoir plus

Protection des données

Découvrez, classez et protégez vos données les plus sensibles dans l’ensemble de votre infrastructure numérique.

En savoir plus

Foire aux questions

  • La sécurité des données permet de protéger les données sensibles tout au long de leur cycle de vie, de comprendre le contexte associé à l’activité des utilisateurs et aux données, et de prévenir l’utilisation non autorisée des données. Celle-ci implique de connaître leurs type et emplacement, et d’identifier les risques qui pèsent sur elles.

  • Les types de sécurité des données incluent notamment les suivants :

    • contrôles d’accès nécessitant des informations de connexion pour accéder à des données locales ou dans le cloud ;
    • authentification des utilisateurs à l’aide de mots de passe, de cartes d’accès ou de la biométrie ;
    • sauvegardes et récupération pour permettre l’accès aux données suite à une défaillance du système, la corruption de données ou un sinistre ;
    • résilience des données en tant qu’approche proactive de la récupération d’urgence et de la continuité d’activité ;
    • effacement des données pour les éliminer de manière appropriée et empêcher leur récupération ;
    • logiciels de masquage des données utilisant des caractères proxy pour masquer les lettres et nombres auprès des utilisateurs non autorisés ;
    • solutions de protection contre la perte de données pour offrir une protection contre l’utilisation non autorisée des données sensibles ;
    • chiffrement pour empêcher la lecture des fichiers par des utilisateurs non autorisés ;
    • protection des données pour classer les données sensibles détectées dans les fichiers et documents ;
    • gestion des risques internes pour atténuer les conséquences des activités utilisateur à risque.

  • Un exemple de sécurité des données consiste à utiliser la technologie pour déterminer les emplacements dans lesquels les données sensibles résident au sein de votre organisation et à identifier les modalités d’accès et d’utilisation de ces données.

  • La sécurité des données est importante car elle aide votre organisation à se prémunir contre les cyberattaques, les menaces internes et les erreurs humaines, qui peuvent toutes engendrer des violations de données.

  • La confidentialité, l’intégrité, la disponibilité et la conformité sont les quatre principales problématiques de la sécurité des données.

Suivez Microsoft 365