Renforcez votre conformité réglementaire avec des mesures de sécurité à plusieurs couches
Si votre tâche quotidienne consiste à protéger l'entreprise contre les cybermenaces, vous avez probablement une autre mission : maintenir la conformité réglementaire. Plus de 130 pays ont promulgué des lois sur la confidentialité des données et 156 pays (80 % du monde) ont promulgué des lois sur la cybercriminalité.
De plus, chaque réglementation sur la confidentialité impose ses propres exigences et obligations pour :
- La réalisation d'évaluations des risques
- La confirmation que des stratégies et des programmes de sécurité ont été mis en place
- Les rapports d'audit (et, si nécessaire, les rapports de violation de données)
De nombreux RSSI consacrent le temps limité de leurs équipes aux efforts de conformité alignés sur les piliers de la sécurité. Prenons par exemple la directive sur la sécurité des réseaux et de l'information 2 (SRI 2) de l'UE. Les fournisseurs de services dans les pays de l'UE mettent en place des « contrôles d'accès de moindre privilège » pour répondre aux exigences de la directive SRI 2, en matière de protection des données sensibles.
Parmi les pratiques courantes, on trouve la conservation des informations d'identification des utilisateurs informatiques disposant de privilèges dans des coffres-forts, ainsi que la compilation de rapports sur qui a accès à quelles ressources pour les organismes de réglementation. Il existe un intérêt similaire dans le secteur de la santé, où les organisations qui gèrent les informations de santé protégées des citoyens américains doivent protéger les dossiers des patients, conformément à la loi HIPAA (loi relative à la transférabilité et la responsabilité en matière d'assurance maladie).
Adopter les pratiques de sécurité courantes est une bonne chose pour la protection des données et, par conséquent, une bonne chose pour le respect des réglementations relatives aux données. Mais protéger les accès et dissimuler les clés ne permet de couvrir que quelques couches de la surface d'attaque.
Pour une protection accrue, il est nécessaire de savoir comment l'organisation protège les ressources si un attaquant trouve une brèche et s'infiltre. Et dans le cas où « une violation est présumée », l'entreprise fait-elle tout son possible pour limiter la mobilité des attaquants, afin qu'ils ne puissent pas se livrer à des mouvements latéraux, élever les privilèges et causer de graves dommages ?
Dans cette série d'articles de blog, nous parlerons des couches que vous devez protéger au niveau de la surface d'attaque, car les organismes de réglementation d'aujourd'hui vérifient que celles-ci sont protégées, et nous vous présenterons les meilleures pratiques en la matière.
Comment l'alignement sur un principe de sécurité peut améliorer la conformité
Les experts du secteur recommandent d'associer les initiatives d'une entreprise en matière de conformité à un ensemble de directives de sécurité fiables, reposant sur les exigences d'organisations telles que le National Institute for Standards in Technology (cadre NIST) ou l'Organisation internationale de normalisation (normes ISO). Cette méthode facilite :
- l'adoption des meilleures pratiques selon des organismes reconnus et le renforcement de la confiance ; et
- l'alignement des mesures de conformité sur une variété de réglementations et l'amélioration de l'efficacité.
Cependant, face à l'évolution des surfaces d'attaque (et des réglementations), nous devons nous demander : pourquoi ne pas également associer les efforts de votre entreprise en matière de conformité des données à un principe de cybersécurité de longue date ? Pour certains, il s'agit d'une approche de défense en profondeur, mais nous préférons parler de sécurité à plusieurs couches. Quoi qu'il en soit, ce principe de sécurité à plusieurs couches est clair.
S'appuyer sur une approche à plusieurs couches
Au lieu de vous appuyer principalement sur un seul type d'outil ou de contrôle de sécurité, vous pouvez créer plusieurs couches de sécurité qui se combinent en une série d'obstacles interconnectés, de pièges et de surprises peu conviviales pour les pirates, afin de contrecarrer les acteurs malveillants en limitant leurs options, leur accès et leur visibilité. Grâce à une approche à plusieurs couches, les contrôles de sécurité destinés à des risques spécifiques peuvent se compléter entre eux. Si un contrôle de sécurité échoue, un autre se tient prêt à agir pour le soutenir. Si l'un détecte un signal d'attaque, son homologue peut agir en fonction des informations et bloquer le mouvement d'un acteur malveillant. Si un outil protège les accès humains, l'autre sécurise les accès non humains, etc. Vous avez compris l'idée.
Les entreprises peuvent appliquer cette approche à la conformité. Vous devez prouver auprès des organismes de réglementation que vous faites tout ce qui est en votre pouvoir pour empêcher les attaquants d'endommager les données et l'infrastructure. Cela inclut les attaques qui rendent publiques les informations personnelles de millions d'utilisateurs ou perturbent les opérations dans des domaines d'infrastructure critiques, tels que les usines de traitement de l'eau.
Les enjeux sont élevés : la non-conformité réglementaire a augmenté le coût moyen d'une violation de données, passant de 4,88 millions de dollars à près de 5,12 millions de dollars en 2024.
De la démonstration de stratégies plus complètes à la mise en place de vos capacités de reporting, explorons quelques lacunes courantes et voyons comment les combler.
Exemples clés d'une sécurité à plusieurs couches appliquée aux normes de conformité
Pour de nombreuses entreprises, il est avantageux de sécuriser les informations d'identification des utilisateurs informatiques qui, entre de mauvaises mains, peuvent permettre aux attaquants de contrôler les réseaux et d'accéder aux données sensibles. De la norme de sécurité de l'industrie des cartes de paiement (PCI-DSS v4.0) au Règlement général sur la protection des données (RGPD), les organismes de réglementation attendent de solides capacités d'accès privilégié.
Cependant, il est également utile de disposer de contrôles pour isoler et sécuriser les données dans des segments, où chaque type de données est protégé par des contrôles d'autorisation adaptés à ses attributs uniques ; cela inclut la sensibilité des données et les exigences réglementaires spécifiques à la région.
Lorsque le réseau est divisé en segments plus petits et isolés, chacun disposant de ses propres stratégies de sécurité des informations, les équipes de sécurité acquièrent un contrôle plus précis sur l'accès aux données et les mouvements latéraux.
En mettant en place les bons outils de microsegmentation, cette approche granulaire :
- réduit la surface d'attaque ;
- limite les dommages potentiels en cas de violation ou d'attaque par ransomware ;
- permet aux équipes de sécurité de montrer la façon dont elles protègent les données, les systèmes et les opérations, tant dans le cadre de leurs stratégies globales que des audits récurrents.
De quelle autre manière les équipes de sécurité peuvent-elles appliquer une approche de sécurité à plusieurs couches à la conformité réglementaire ? Parlons du rôle toujours essentiel de la protection des données.
Répondre aux exigences de sécurité des API
Selon le rapport Verizon DBIR de 2025, 60 % des violations ont une origine humaine (par exemple, lorsque des employés tombent dans le piège de l'hameçonnage et que des données sont volées). C'est pourquoi les entreprises mettent naturellement en œuvre des contrôles de gestion des identités et des accès, afin d'éviter des amendes coûteuses et l'atteinte à leur réputation. De nombreux organismes de réglementation et cadres de sécurité l'exigent.
Votre entreprise doit pouvoir montrer aux organismes de réglementation que vous réduisez la dépendance vis-à-vis des mots de passe et que vous mettez en œuvre des méthodes d'authentification à deux facteurs pour les utilisateurs. Mais concernant ces violations, qu'en est-il de l'origine non humaine ?
Au sein d'une même entreprise, des milliers d'interfaces de programmation d'applications (API) travaillent en arrière-plan pour échanger rapidement des données. Les attaquants savent que les API sont souvent mal configurées, qu'elles manquent de contrôles d'authentification et qu'elles sont faciles à manipuler pour obtenir des informations sensibles.
En effet, 84 % des entreprises ont été victimes d'un incident de sécurité lié aux API au cours des 12 derniers mois, les responsables informatiques et de la sécurité citant un coût moyen de 943 162 $.
En appliquant une approche de sécurité à plusieurs couches pour répondre aux exigences de conformité, une équipe de sécurité peut ajouter des outils de surveillance et de sécurisation du parc d'API aux contrôles d'accès des employés. Cela inclut des fonctionnalités de gestion de la posture de sécurité des API pour :
analyser le comportement d'une API à la recherche d'anomalies, par rapport à un point de référence d'activité standard ;
identifier les activités malveillantes en temps réel et alerter d'autres outils afin d'appliquer des contrôles tels que le blocage des accès non autorisés ;
fournir une vue continue des incidents de sécurité potentiels liés aux API, alignée sur les cadres de conformité que vous avez adoptés.
Meilleures pratiques en matière de conformité de la sécurité des données : quatre couches de sécurité clés
Consultez les prochains articles de blog de cette série, dans lesquels nous parlerons des façons dont les équipes de sécurité des entreprises peuvent répondre aux lacunes et aux défis en matière de conformité. Nous pensons que le respect des lois sur la protection des données exige une approche stratégique similaire à la façon dont les entreprises mettent en œuvre des stratégies à plusieurs niveaux pour protéger chaque zone de la surface d'attaque.
Nous aborderons les meilleures pratiques directement liées aux exigences actuelles des organismes de réglementation, notamment l'importance d'une visibilité complète sur l'ensemble du parc informatique.
En savoir plus
Découvrez comment Akamai peut vous aider en consultant notre page sur la conformité en matière de cybersécurité.
