Modèle d'évaluation des risques pour les données
Étape 1 : recherche et classification des données sensibles
| Que faire | Comment procéder |
|---|---|
Définir les données sensibles | Définissez clairement le type de données à considérer comme sensibles pour l’organisation. Cela peut inclure les données personnelles (PII), financières, les dossiers de santé, la propriété intellectuelle et les plans commerciaux confidentiels. |
Créer des règles de détection des données | Créez des règles pour identifier des modèles de données, des formats ou des mots-clés précis associés aux données sensibles. Utilisez des concordances d’expressions régulières et de mots-clés pour créer des règles de détection des données propres à l’organisation. |
Identifier le capital données | Analysez l’espace de stockage pour localiser les instances de données sensibles concordant avec les règles créées dans toute l’organisation. |
Classer les données | Une fois les données trouvées validées, marquez-les selon la sensibilité (par exemple, public, interne, confidentiel, à accès limité, etc.) pour prioriser les mesures de protection. |
Cartographier le flux de données | Cartographiez le flux de données à travers l’organisation, de la collecte au stockage, au traitement et la transmission. On veille ainsi à disposer d’un aperçu clair à l’échelle de l’organisation. |
Étape 2 : identification des menaces et vulnérabilités
| Que faire | Comment procéder |
|---|---|
Identifier les menaces | Répertoriez les menaces internes et externes les plus courantes que l’organisation peut rencontrer, comme le malware, le phishing, les menaces internes, les menaces persistantes avancées (APT) et l’accès non autorisé. |
Identifier les vulnérabilités | Identifiez et évaluez les vulnérabilités que présentent le matériel, les logiciels et les réseaux de l’organisation. |
Étape 3 : évaluation et analyse des risques
| Que faire | Comment procéder |
|---|---|
Créer une matrice des risques | Élaborez une matrice des risques et affectez des notes à différentes menaces et vulnérabilités selon la probabilité de leur survenue et l’impact potentiel sur les données de l’organisation. |
Évaluer les lacunes des contrôles de sécurité actuels | Évaluez les contrôles de sécurité actuels comme les pare-feux, le chiffrement, les contrôles d’accès et les systèmes de détection d’intrusion. Identifiez les lacunes entre les contrôles actuels et les bonnes pratiques. |
Étape 4 : adoption de stratégies de prévention
| Que faire | Comment procéder |
|---|---|
Créer un plan de réponse aux incidents | Créez et testez un plan de réponse aux incidents pour remédier efficacement aux violations de données et aux incidents de cybersécurité. |
Gérer les contrôles d’accès | Veillez à établir des contrôles d’accès adéquats, limitant l’accès aux données selon les rôles et les responsabilités. |
Chiffrer les données | Instaurez le chiffrement des données en cours d’utilisation, en transit ou au repos pour éviter un accès non autorisé. |
Prévoir une formation à la cybersécurité pour le personnel | Assurez une formation de sensibilisation à la cybersécurité régulière du personnel pour promouvoir les bonnes pratiques et réduire les risques d’origine humaine. |
Établir un plan de sauvegarde et de restauration des données | Établissez une stratégie de sauvegarde des données 3-2-1 pour assurer leur protection et disponibilité en cas de violation. |
Mettre à jour les correctifs de sécurité et les logiciels | Suivez un solide processus de gestion des correctifs pour que les systèmes et les logiciels restent à jour. |
Tenir à jour les exigences de conformité | Examinez les règles de conformité applicables à l’organisation et vérifiez que vos mesures de cybersécurité les respectent bien. |
Analyser les étapes d’évaluation des risques et les adapter constamment | Réalisez des audits et des bilans réguliers du processus d’évaluation des risques pour les données et apportez les ajustements nécessaires selon l’évolution contextuelle et technologique. |
Exclusion de responsabilité : ce document fourni à titre informatif uniquement ne constitue pas des conseils juridiques. ManageEngine ne consent aucune garantie, expresse, implicite ou légale, quant aux effets des informations contenues dans le présent document.
Comment ManageEngine DataSecurity Plus aide à simplifier l’évaluation des risques pour les données
DataSecurity Plus facilite la recherche des données sensibles dans l’espace de stockage, leur classement selon le degré de sensibilité et l’analyse de la propriété des fichiers et des autorisations. Le module d’analyse des risques de DataSecurity Plus permet de :
- Rechercher les données sensibles dans les dépôts de données avec des règles de détection par défaut ou personnalisées utilisant des concordances d’expressions régulières et de mots-clés, en minimisant l’impact sur la productivité.
- Créer des stratégies de conformité pour trouver rapidement les données sensibles et vérifier si leur protection s’avère suffisante par rapport aux exigences.
- Créer des profils de classification complets pour marquer les fichiers selon le degré de sensibilité.
- Configurer des alertes pour déceler les données qui violent les stratégies de stockage des données sensibles et exécuter des scripts personnalisés pour y remédier.