Devenues reines des systèmes informatiques, les données sont le cœur de toute entreprise ou organisation. Elles sont rentrées, collectées, scannées, traitées, analysées, stockées, imprimées, transmises tous les jours, tout le temps. Bref, elles sont le pouvoir et bien souvent la chose la plus précieuse qu’une entreprise ou organisation possède. Et les données sont stockées dans divers lieux : bases de données, data warehouses, fichiers, cloud, etc.
A l’heure actuelle, on s’attarde plus à protéger ces lieux de stockage que les données elles-mêmes. Les organisations déploient ainsi tout un arsenal de défenses périphériques, avec tant des murs physiques que des murs virtuels, pour protéger les lieux de stockage. Malgré cet effort de protection, la plupart des spécialistes en sécurité ne cessent de le répéter : « La question à se poser n’est pas ‘si’, mais ‘quand est-ce qu’une cyberattaque va avoir lieu dans votre organisation ! ». Et ces mêmes spécialistes s’accordent à dire que les défenses périphériques n’amèneront qu’un retard à la réussite (certaine) d’une cyberattaque.
Durant la session d’information, nous présenterons un modèle de sécurité centré sur les données : le ‘data-centric security model’. Contrairement aux autres méthodes de protection mentionnées ci-dessus, ce modèle se focalise sur la protection des données elles-mêmes. Il a pour but de protéger toute donnée dite sensible partout et à tout moment, dès qu’elle est introduite dans le système informatique d’une organisation, que la donnée soit utilisée, en transit ou stockée. Il permet donc de déployer une sécurité globale et homogène dans l’organisation.
Nous parcourrons les six étapes à déployer pour mettre en place le modèle. Nous expliquerons entre autres en quoi la classification des données est importante pour mettre en place une protection ‘data-centric’ efficace. Nous détaillerons également les différents mécanismes cryptographiques qui peuvent être utilisés dans le modèle ‘data-centric’. Le tout sera illustré via des exemples sur base d’un produit concret.
Data zijn tegenwoordig het koninginnestuk van de informaticasystemen en vormen het hart van elke onderneming of organisatie. Elke dag worden ze ingebracht, verzameld, gescand, verwerkt, geanalyseerd, opgeslagen, afgedrukt en overgedragen. Ze zijn met andere woorden het symbool voor de macht en zijn vaak het belangrijkste bezit van een onderneming of organisatie. Data worden ook op verschillende plaatsen opgeslagen: databases, datawarehouses, bestanden, in de cloud, etc.
Momenteel houdt men zich meer bezig met het beschermen van deze opslagplaatsen dan de data zelf. Organisaties ontwikkelen op die manier een hele uitrusting aan perifere verdedigingen, met zowel fysieke als virtuele muren om de opslagplaatsen te beschermen. Ondanks deze inspanning om ze te beschermen blijven veiligheidsexperten herhalen dat: "de vraag niet is of, maar wanneer er een cyberaanval zal gebeuren in uw organisatie"! En diezelfde experten zijn het met elkaar eens dat perifere verdedigingen een cyberaanval weliswaar kunnen vertragen maar niet kunnen stoppen of verhinderen.
Tijdens de infosessie zullen we een veiligheidsmodel voorstellen dat focust op data, het 'data-centric security model'. In tegenstelling tot de andere beschermingsmethodes die hierboven vermeld worden, richt dit model zich op de bescherming van de data zelf. Het heeft als doel om elk gevoelig gegeven eender waar en op welk moment ook te beschermen zodra dit gegeven in het informaticasysteem van een organisatie terechtkomt, of het nu om een gebruikt gegeven, een gegeven in transit of een opgeslagen gegeven gaat. Hiermee kan dus een globale en homogene veiligheid op poten gezet worden in de organisatie.
We overlopen de zes stappen die geïmplementeerd moeten worden om het model in te voeren. We leggen onder andere uit waarom dataclassificatie belangrijk is om voor een efficiënte 'data-centric' bescherming te zorgen. We zullen eveneens de verschillende cryptografische mechanismen bespreken die gebruikt kunnen worden in het "data-centric" model. Alles zal geïllustreerd worden via voorbeelden op basis van een concreet product.