ra2 studio - Fotolia
Comment le masquage des données peut aider à protéger l’entreprise
Les techniques de masquage des données peuvent aider les entreprises à protéger leurs informations et à limiter le risque d’exposition ou de fuite de données.
L’impact d’une brèche de données peut être désastreux pour une organisation, en se traduisant notamment par la perte de confiance clients, des pénalités financières, et plus encore. Le coût total moyen d’une brèche de sécurité est de 4 M$, soit 29 % de plus qu’en 2013, selon l’étude 2016 de l’institut Ponemon sur le coût de ces incidents. Le coût moyen par enregistré compromis est de 158 $, tandis que le coût moyen par enregistrement pour les secteurs de la santé et du commerce de détail sont de 355 $ et de 129 $, respectivement. Malgré le risque élevé, les entreprises continuent d’être régulièrement victimes de brèches et cela soulève des préoccupations significatives sur la manière dont les entreprises stockent, traitent et gèrent leurs données.
Si les menaces externes restent une priorité élevée, la menace sur les données sensibles vient également de l’intérieur. Le vol de données clients, d’informations personnelles ou de détails de cartes de paiement par des employés est une réalité. Et souvent parce que les utilisateurs privilégiés – administrateurs de systèmes ou de bases de données – peuvent accéder à ces données. Trop souvent, les données bien réelles de l’environnement de production sont copiées sur l’environnement de développement, qui est moins sécurisé et moins surveillé que celui de production.
Les techniques de masquage de données offrent différentes façons de s’assurer que les données restent protégées contre le risque de tomber entre de mauvaises mains, et que moins de personnes peuvent accéder à des informations sensibles. Le tout sans préjudice pour les besoins métiers.
Qu’est-ce que le masquage de données ?
Le masquage de données est le processus consistant à remplacer, en environnement de test ou de développement, les données sensibles réelles par des informations qui leur ressemblent, mais qui ne seraient d’aucune utilité à quiconque pourrait vouloir en faire un usage malicieux.
De fait, les utilisateurs des environnements de test ou de développement n’ont pas besoin de voir les données de production réelles tant que celles qui sont à leur disposition apparaissent cohérentes. Ainsi, les techniques de masquage sont utilisées pour protéger les données en désidentifiant les informations sensibles contenues dans les environnements hors production, ou en masquant les informations identifiables avec des valeurs réalistes.
Le besoin de techniques de masquage
Les organisations ont souvent besoin de copier les données de production stockées dans les bases de données vers des bases de test ou de développement. Et cela afin de pouvoir réaliser les tests fonctionnels des applicatifs et couvrir des scénarios réels pour minimiser le risque de bugs ou de défauts en production.
Du fait de ces pratiques, les environnements hors production peuvent constituer des cibles de choix pour les cybercriminels ou les collaborateurs malveillants. Et cela d’autant plus que ces environnements ne sont généralement pas aussi étroitement contrôlés que les environnements de production.
Les impératifs réglementaires sont un autre moteur pour le masquage des données. Par exemple, le standard PCI DSS exige des commerçants que les données et informations de production « ne soient pas utilisées pour le test et le développement ». L’exposition de données de paiement carte, par accident ou malveillance, pourrait avoir des conséquences dévastatrices.
Les utilisations du masquage de données
Sans surprise, le masquage de données est fréquemment utilisé lorsque l’environnement de développement est laissé à la charge d’un tiers, comme un prestataire d’externalisation. Là, l’entreprise peut remplacer ses informations sensibles par des valeurs comparables pour permettre à son prestataire de faire correctement son travail sans risquer d’exposer ses données.
Autre exemple typique, dans l’industrie du commerce de détail, lorsqu’un commerçant veut partager des données de terminaux de points de vente avec un cabinet d’études pour leur appliquer des algorithmes analytiques avancés pour étudier les habitudes de ses clients et les tendances. Au lieu de fournir les données clients réelles, le commerçant y substitue des données comparables : de quoi encore réduire le risque de fuites de données.