Les avancées technologiques rapides ont apporté de nouveaux défis concernant la protection des données personnelles. Chaque entreprise doit avoir une approche globale de la gestion de la confidentialité et doit documenter le processus de collecte, de traitement et de stockage des données personnelles. Mais trop d’entreprises négligent encore les fondamentaux de la sécurité. Avec les nouvelles réglementations, telles que Règlement général sur la protection des données (GDPR), Norme Payment Card Industry (PCI) Data Security Standard ou encore Norme ISO 27001, le coût du non-respect est plus élevé que jamais. Bien que ces réglementations soient souvent perçues comme un fardeau, en mettant en place des mesures de sécurité élémentaires elles peuvent devenir une véritable opportunité pour votre entreprise.

La plupart des risques résident dans les données elles-mêmes et dans les processus utilisés pour les gérer. Ce sont des éléments clés d’une initiative d’entreprise pour assurer la sécurité des données. Voici 10 façons d’améliorer la conformité de la sécurité avec les règlements sur la protection des données personnelles :

  1. Maintenez un inventaire précis de vos actifs logiciels

Une solution Software Asset Management (SAM) permet aux entreprises de collecter des données complètes d’inventaire matériel et logiciel pour la visibilité et le contrôle du parc informatique. Elle identifie également les applications qui utilisent des données personnelles et les personnes qui utilisent ces applications. Un audit complet couvrirait ces aspects et garantirait que les données qui ne sont pas conformes aux normes de protection des données en vigueur soient passées en revue.

Une vue complète des logiciels installés peut permettre une consolidation du portefeuille de logiciels afin de réduire les risques de sécurité en réduisant la surface d’attaque des vulnérabilités logicielles. Identifiez et supprimez les logiciels gratuits et non autorisés pouvant présenter un risque de sécurité.

  1. Déterminez quels logiciels Open Source (OSS) sont utilisés dans vos applications développées en interne

Ne négligez pas les logiciels Open Source (OSS) qui s’exécutent dans votre environnement.

Typiquement, les entreprises connaissent moins de 10 % de ce qui est véritablement utilisé. Les ingénieurs logiciels utilisent des composants Open Source pour accélérer leur travail, mais ils ne comprennent souvent pas les risques de vulnérabilité logicielle qu’ils peuvent présenter.

Prenez le contrôle et gérez l’utilisation des logiciels Open Source et des composants tiers. Recourez à l’automatisation pour mettre au point un inventaire OSS et une politique conciliant avantages métiers et gestion du risque.

  1. Soyez vigilant sur le suivi et le traitement des alertes sur vos actifs logiciels

Utilisez un outil de gestion des vulnérabilités logicielles pour obtenir des informations de vulnérabilité qui vous permettent de rester au fait des vulnérabilités connues et de leur criticité.

Votre outil SAM devrait fournir la liste des logiciels installés dont vous avez besoin pour surveiller les des données en matière de sécurité vulnérabilités. Utilisez la solution d’analyse du code source pour comprendre les composants des logiciels Open Source (OSS) que vous utilisez dans vos applications développées en interne et être informé des vulnérabilités OSS.

  1. Exécutez régulièrement une évaluation des vulnérabilités sur tous les systèmes

Identifiez les logiciels vulnérables non corrigés sur les ordinateurs de bureau, les ordinateurs portables et les serveurs. Concentrez-vous sur l’essentiel pour centrer les recherches et les alertes sur les actifs logiciels identifiés dans votre inventaire. Détectez et évaluez l’état de sécurité de vos applications pour réagir plus rapidement.

  1. Priorisez et corrigez les vulnérabilités les plus critiques en premier

Mettez en œuvre des politiques et des workflows de gestion des vulnérabilités. Pilotez les processus de correction de bout en bout et générez des rapports afin de garantir le respect des accords de niveau de service (SLA). En appliquant les bons correctifs, les entreprises ferment la porte à la principale méthode d’intrusion externe pour les cyberattaques. Réduire la surface d’attaque des cybercriminels réduit le risque et les conséquences coûteuses des violations de données personnelles.

  1. Supprimez les droits d’administrateur locaux des appareils des employés

La suppression des droits d’administrateur locaux limitera davantage l’exposition au risque de votre entreprise. Les pirates se servent principalement des droits d’administration pour répandre des logiciels malveillants dans votre entreprise. Si un employé dispose de droits d’administrateur locaux sur son appareil, il peut être amené à ouvrir des pièces jointes dangereuses ou à télécharger des applications à partir de sites Web malveillants. Si le compte utilisateur de la victime dispose des droits d’administration, le pirate peut prendre l’appareil en charge dans son intégralité, installer des logiciels et rechercher des données personnelles sensibles.

  1. Appliquez les règles définies par l’entreprise à l’aide d’une Application Store d’entreprise

Empêchez les utilisateurs de télécharger des applications provenant de sources inconnues. Déployez des logiciels autorisés et appliquez les règles définies par l’entreprise à l’aide d’une Application Store d’entreprise. Une Application Store d’entreprise peut assurer la mise en place d’une gouvernance qui permette d’installer uniquement les applications autorisées. Une Application Store d’entreprise peut également vérifier la disponibilité des licences de logiciels et obtenir les autorisations nécessaires.

Outre l’installation de nouvelles applications, une Application Store d’entreprise peut être utilisée pour supprimer des applications sans licence et sur liste noire des appareils des employés.

  1. Déployez uniquement de nouveaux logiciels exempts de vulnérabilités connues

À mesure que le nombre, la fréquence et la complexité des applications augmentent dans le portefeuille d’une entreprise, les risques de diffusion de nouvelles applications dans votre environnement augmentent également. L’ingénierie informatique, les achats de ressources informatiques et la sécurité informatique ont tous un rôle à jouer dans l’examen de ces risques et permettent de savoir si une application peut être lancée ou si elle nécessite encore des actions de remédiation. Dans le cadre du processus de contrôle des modifications, les entreprises doivent évaluer les risques lors du déploiement d’applications nouvelles et mises à jour dans leur environnement et doivent s’assurer qu’elles ne contiennent aucune vulnérabilité connue.

  1. Désinstallez les logiciels en fin de vie avant que le fournisseur ne cesse de les prendre en charge

Lorsque le logiciel atteint sa fin de vie, le fournisseur cesse de corriger les failles de sécurité. Détectez les logiciels en fin de vie et effectuez une mise à niveau vers une version prise en charge ou supprimez-les des appareils. Les programmes en fin de vie ne sont plus mis à jour ni pris en charge par le fournisseur. Ils ne reçoivent plus de mises à jour de sécurité et sont considérés comme dangereux.

  1. Partagez des données entre systèmes et collaborez

Garantissez aux équipes de sécurité et des opérations informatiques des données cohérentes et des vues personnalisées. Ces éléments leur permettent de collaborer efficacement dans le cadre de leurs activités de recherche, d’évaluation et de correction des vulnérabilités. Créez automatiquement des tickets de support d’assistance pour suivre et confirmer la remédiation.

 

_____________
Christian Hindre est Directeur Commercial Europe de Flexera