CE BLOG EST BASÉ SUR UN ARTICLE ÉCRIT PAR SIMON PAMPLIN, CTO, CERTES NETWORKS
Dans le paysage numérique actuel, les violations de données sont devenues une dure réalité pour les entreprises de toutes tailles. Les cybercriminels étant de plus en plus sophistiqués, la question n’est plus de savoir si une violation de données se produira, mais quand elle se produira. Il est donc d’autant plus important que les entreprises et leurs fournisseurs de services gérés (MSP) comprennent bien leurs responsabilités respectives en matière de cybersécurité, en particulier lorsqu’il s’agit d’en supporter le poids financier.
Cependant, selon une étude récente, tant les entreprises que les fournisseurs de services de gestion de contenu (MSP) sont alarmés par leur incertitude quant à leurs obligations juridiques et financières en cas de violation de données. La formulation des contrats est souvent ambiguë, ce qui laisse place à des querelles juridiques et expose les deux parties à des risques importants. En fin de compte, lorsqu’une violation de données se produit et que des informations sensibles sont exposées, aucune des deux parties n’en sort gagnante.
Comme le souligne Simon Pamplin, directeur technique de Certes Networks, la solution n’est pas de rejeter la faute sur autrui. Au contraire, la priorité absolue devrait être la protection des données elles-mêmes afin de s’assurer que même si un cyber-attaquant parvient à percer les défenses, il n’y a rien à voir et rien à gagner. Cela signifie qu’il faut adopter une approche proactive pour sécuriser les données sensibles, notamment en mettant en œuvre un cryptage fort, des contrôles d’accès et d’autres mesures de sécurité avancées qui peuvent atténuer l’impact d’une violation potentielle des données.
En définitive, la clé d’une cybersécurité réussie réside dans une communication et une collaboration claires entre les entreprises et leurs fournisseurs de services de gestion. En travaillant ensemble pour établir des attentes et des responsabilités claires, ainsi qu’en mettant en œuvre des mesures de sécurité solides, les organisations peuvent réduire le risque d’une violation de données et minimiser l’impact dans le cas où elle se produirait.
Charge financière
La charge financière d’une violation de données peut être importante, non seulement en termes de coûts financiers directs, mais aussi en termes d’atteinte potentielle à la réputation d’une entreprise. Malheureusement, des études récentes suggèrent que de nombreuses entreprises ne sont pas pleinement conscientes de leurs obligations juridiques et financières en cas de violation de la cybersécurité.
Une enquête menée par Sapio Research pour le compte de Certes Networks a révélé qu’un grand nombre d’entreprises se contentent d’externaliser leurs responsabilités en matière de cybersécurité auprès de fournisseurs de services informatiques (ITSP) ou de fournisseurs de services gérés (MSP). En cas de violation de données, ces entreprises s’attendent à ce que leur fournisseur de services informatiques ou leur prestataire de services de gestion de contenu prenne en charge la majeure partie du coût financier.
Selon l’enquête, 48 % des entreprises qui emploient des organisations tierces pour mettre en œuvre des politiques de sécurité s’attendent à ce que leur fournisseur de services informatiques couvre les coûts en cas de violation des données. Il est étonnant de constater que 73 % des prestataires de services informatiques se considèrent eux-mêmes comme responsables du paiement des amendes et des dommages-intérêts et estiment qu’ils devraient assumer 51 % des coûts.
Cette ambiguïté et ce manque de clarté concernant les responsabilités financières et les obligations légales sont très préoccupants. Au lieu d’essayer de rejeter la faute sur les fournisseurs de services informatiques et les fournisseurs de services de gestion, les entreprises devraient donner la priorité à la protection de leurs données sensibles afin d’éviter que des violations ne se produisent en premier lieu.
Comme le souligne Simon, l’accent doit être mis sur la mise en œuvre de mesures de sécurité robustes afin de s’assurer que même si un attaquant parvient à pénétrer dans le système, il n’y a rien à voir et rien à gagner. Cela permet non seulement de protéger les données sensibles de l’entreprise, mais aussi de minimiser l’impact financier d’une éventuelle violation.
En résumé, les entreprises ne peuvent pas se permettre d’externaliser complètement leurs responsabilités en matière de cybersécurité en les confiant à des prestataires de services informatiques et à des fournisseurs de services de gestion. Il est important que les entreprises comprennent leurs obligations légales et financières et prennent des mesures proactives pour protéger leurs données sensibles afin de minimiser l’impact financier de toute violation potentielle de données.
La question de la responsabilité en cas de violation de données est un champ de mines juridique et réglementaire. De nombreuses entreprises comptent sur les fournisseurs de services informatiques (ITSP) ou les fournisseurs de services gérés (MSP) pour prendre en charge les coûts financiers associés aux violations de données. Toutefois, des études récentes ont montré que les obligations des deux parties manquent de clarté.
Le problème est exacerbé par le fait que les cadres supérieurs qui sont personnellement responsables du respect des réglementations en matière de protection de l’information peuvent ne pas être en mesure d’abdiquer leurs responsabilités à des fournisseurs de services tiers. Cela soulève la question de savoir si de telles dispositions peuvent résister à un examen réglementaire.
Afin d’éviter les difficultés juridiques et financières, il est important que les entreprises comprennent clairement leurs responsabilités et travaillent en étroite collaboration avec leurs fournisseurs de services informatiques ou leurs fournisseurs de services de gestion pour s’assurer que les mesures de sécurité appropriées sont en place. En fin de compte, la responsabilité de la protection des données sensibles incombe à l’entreprise, et il est important de jouer un rôle actif dans la protection de ces informations.
Il est naïf d’attendre d’un expert en infrastructure de sécurité de réseau qu’il comprenne toutes les implications financières et de réputation liées à une violation de données. Cela ne fait pas partie de leurs attributions. Ils sont responsables des performances de l’infrastructure, et non de la valeur ou de l’assurance des données de l’entreprise.
Simon Pamplin, directeur technique, Certes Networks
Perception erronée endémique
S’appuyer sur un MSP ou un ITSP peut sembler être un bon moyen de soutenir l’approche de confiance zéro visant à séparer la responsabilité de la politique de l’administration du système. Cependant, toute mesure de sécurité doit être définie d’un point de vue commercial afin de refléter la sensibilité de certains ensembles de données. En plaçant la responsabilité sur le MSP, l’ensemble du dispositif de sécurité est à la fois défini et mis en œuvre par une équipe de sécurité réseau, ce qui peut créer un manque évident de séparation des tâches.
Cette approche peut vider les accords contractuels de leur sens si un régulateur sanctionne sévèrement l’absence de séparation des fonctions. En outre, d’un point de vue juridique, le propriétaire des données est responsable de toute violation de données. Par conséquent, toute entreprise qui pense à tort que le MSP ou l’ITSP paiera la facture risque d’avoir une mauvaise surprise.
Cette perception indique que beaucoup trop d’entreprises n’envisagent pas les véritables implications de la sécurité des données au bon niveau. Les responsables de la protection des données et de la conformité, ainsi que les cadres supérieurs, peuvent être personnellement responsables de la protection des données sensibles de l’entreprise, des clients et des partenaires concernés par ces décisions. Il est donc essentiel de se demander si le fait de demander à l’équipe de sécurité du réseau de nommer un MSP pour fournir un SD-WAN constitue une approche adéquate de la protection des données et de la conformité.
Exiger des garanties
La responsabilité de la protection des données sensibles ne peut pas reposer uniquement sur les épaules d’un expert en infrastructure de sécurité réseau. S’ils sont responsables des performances de l’infrastructure, ils ne sont pas responsables de la valeur ou de l’assurance des données de l’entreprise. Il est important que les entreprises s’approprient leurs données et exigent que leur MSP ou ITSP fournisse un niveau supplémentaire de protection des données. Au lieu de se fier uniquement à l’infrastructure du réseau, les entreprises devraient rechercher un MSP qui propose des mesures de sécurité spécialement conçues pour protéger leurs données. Les chefs d’entreprise peuvent ainsi avoir l’assurance que leurs données sont sécurisées et conformes.
Plutôt que de jouer au jeu des reproches, la priorité doit être de protéger les données afin de s’assurer que, même lorsqu’un attaquant s’introduit, il n’y a rien à voir et rien à gagner.
Simon Pamplin, directeur technique, Certes Networks
Le chiffrement de la couche 4, basé sur des règles, est une solution efficace pour protéger les données en transit. En ne cryptant que les données utiles et en laissant les données d’en-tête en clair, les services et les applications du réseau sont peu perturbés. En outre, cette approche établit une séparation claire entre la définition des politiques et la gestion des systèmes, ce qui permet de fonder les politiques de chiffrement sur la sensibilité des données de l’entreprise. Cela profite non seulement aux responsables des données, mais aussi aux équipes chargées de la sécurité du réseau, qui peuvent ainsi maintenir les performances de l’infrastructure tout en veillant à ce que les données sensibles restent protégées. Dans l’ensemble, l’adoption d’un chiffrement de couche 4 basé sur des règles est une solution gagnant-gagnant pour les deux parties concernées.
Conclusion
La récente étude menée par Sapio Research pour Certes Networks met en lumière une préoccupation majeure des entreprises et des fournisseurs de services informatiques (ITSP/MSP), à savoir qui supporte le coût financier et la responsabilité juridique en cas de violation de données. Il s’agit d’une question importante car les deux parties risquent de subir des conséquences commerciales à long terme qui pourraient être dévastatrices.
Pour éviter ces risques, les entreprises doivent adopter une approche différente et exiger une couche supplémentaire de protection des données. En adoptant la couche 4, le chiffrement basé sur des règles garantit que les données utiles sont protégées tout au long de leur parcours, tout en ne chiffrant que les données utiles, laissant les données d’en-tête en clair. Cette approche minimise les perturbations des services ou des applications du réseau et permet une séparation claire entre la définition des politiques et la gestion des systèmes.
Les entreprises doivent s’approprier leurs données et exiger que le MSP ou l’ITSP fournisse un autre niveau de protection des données. Ce faisant, l’entreprise ne dépendra plus d’un tiers pour protéger ses données, mais en prendra elle-même la responsabilité. Cette approche permettra non seulement d’éliminer la question de la responsabilité ou du coût, mais aussi de sauvegarder les données dans l’infrastructure fournie par le MSP ou l’ITSP.
Cliquez ici
pour savoir comment la segmentation cryptographique de couche 4 et l’assurance des données protégeront vos données et, en fin de compte, votre entreprise.