Données fantômes et DSPM

Pour comprendre qu'est-ce que les données fantômes, il faut savoir que ces données sont des informations sensibles stockées dans des environnements cloud hors des contrôles de sécurité, rendant la gestion de la posture de sécurité des données indispensable. 

Elles résultent souvent de :

• Données non tracées dans les environnements de développement, de stockage ou de test
• Sauvegardes ou copies créées à des fins d'analyse ou d'apprentissage automatique
• Données laissées par des applications ou des projets déclassés
• Intégrations SaaS ou services tiers mal configurés

Les données fantômes peuvent inclure des informations réglementées telles que des informations personnellement identifiables (PII), des informations de santé personnelles (PHI) ou des données financières. Ces données ne disposent généralement pas de contrôles d'accès appropriés, de chiffrement ou de surveillance, ce qui en fait une cible attrayante pour les attaquants et un risque lors des audits.

Les données fantômes peuvent s'accumuler rapidement, en particulier dans les organisations dotées d'un développement décentralisé, qui évoluent rapidement qui font appel à plusieurs fournisseurs de services cloud. 

Ces assets de données étant la plupart du temps non documentés, les équipes de sécurité peuvent ignorer jusqu'à leur existence, leur configuration ou qui peut y accéder. Laissées sans surveillance, les données fantômes constituent une surface de menace invisible.

Les environnements cloud modernes sont dynamiques et décentralisés. Les équipes déploient l'infrastructure à la demande, intègrent des outils via des API et avancent rapidement pour soutenir le développement agile. Dans cet environnement, les données sont faciles à reproduire mais difficiles à suivre.

Les équipes de sécurité ont du mal à suivre car :

Les données fantômes contournent la prévention traditionnelle des pertes de données (DLP) et soutiennent la réponse aux incidents interfonctionnelle et la préparation à la conformité, donnant aux équipes une visibilité partagée sur les risques de données cachées.

Le principe de base d'un programme efficace de gestion de l'exposition consiste à identifier, évaluer et réduire de manière proactive toutes les formes de cyber-risques sur l'ensemble de votre surface d'attaque. 

Les données fantômes constituent un angle mort important dans cette surface, et DSPM y répond directement.

DSPM fournit la visibilité granulaire pour comprendre où résident les données et comment les identités, les configurations et les chemins réseau se combinent afin de rendre exploitables les chemins d'attaque. 

Vous passez du simple fait de savoir que vous avez des données non gérées à la compréhension de l'impact critique que ces données pourraient avoir en cas de brèche.

L'intégration de DSPM à votre plateforme de gestion de l'exposition plus étendue vous offre une vision holistique du risque. Vous voyez comment les données fantômes, à votre insu, se connectent à des comptes sur-privilégiés ou à des services cloud mal configurés. Cela vous permet de prioriser la remédiation en fonction de la probabilité et de l'impact d'une attaque.

Lorsque vous surveillez en continu la présence de nouvelles données fantômes, vous empêchez d'étendre votre surface d'attaque. Vous réduisez votre exposition avant que les attaquants ne puissent exploiter vos assets cachés.

La gestion de la posture sécurité des données (DSPM) répond directement au défi des données fantômes en offrant une découverte, une classification et une analyse de l'exposition en continu.

Voici comment :

1. Découvrir et inventorier les données inconnues

Les plateformes DSPM analysent le stockage cloud, les bases de données, les plateformes SaaS et les infrastructures fantômes afin de détecter les assets de données non gérés ou oubliés, notamment :

• Les buckets S3, le stockage blob et les data lakes non gérés
• Les instances de base de données ou environnements de test inutilisés
• Les journaux, rapports et exportations cloud-native contenant des enregistrements sensibles

2. Classifier en fonction des risques et de la conformité

Les outils DSPM appliquent des modèles de classification pour étiqueter les informations sensibles en fonction de cadres de conformité ou de types de données personnalisés tels que le code source ou la propriété intellectuelle.

3. Analyser l'exposition et les combinaisons toxiques

DSPM analyse qui ou ce qui peut accéder aux données et si des mauvaises configurations d'infrastructure (par exemple, des buckets publics, des rôles IAM faibles) augmentent le risque.

4. Prioriser ce qu'il faut corriger en premier

Les scores de risque examinent la gravité de l'exposition, la sensibilité des données, l'exploitabilité et le contexte métier. Ils vous aident à vous concentrer sur ce qui réduit le risque, et non pas seulement sur le bruit.

DSPM aide les équipes de sécurité à se concentrer sur les problèmes à fort impact grâce aux scores de risque et aux graphiques d'exposition. Il peut s'agir de données fantômes exposées à l'internet, de comptes de service dont les autorisations sont excessives ou de sauvegardes non chiffrées contenant des données sensibles. 

5. Remédier et appliquer la politique

Les principales solutions DSPM guident la remédiation et s'intègrent aux plateformes d'infrastructure-as-code (IaC), de gestion de l'infrastructure et des droits cloud (CIEM) et de gestion de la posture sécurité cloud (CSPM) pour :

• Chiffrer ou supprimer les données non gérées
• Révoquer les accès inutiles
• Appliquer des contrôles cohérents dans tous les clouds

DSPM permet également d'éviter l'apparition de données fantômes. 

L'intégration aux workflows de provisionnement cloud et aux outils de policy-as-code applique automatiquement des garde-fous, afin que les nouveaux services héritent de configurations sécurisées par défaut et d'un accès au moindre privilège dès le premier jour.

• Découverte de données fantômes : obtenez un inventaire complet et toujours à jour des données sensibles, même si les équipes les créent en dehors des processus formels.
• Prévention des brèches dans le cloud : identifiez les combinaisons toxiques avant les attaquants et coupez les chemins d'attaque vers les assets oubliés.
• Préparation à la mise en conformité : répondez aux attentes des auditeurs en matière de gouvernance des données et de contrôle d'accès dans les environnements multi-cloud.

Réponse aux incidents : Réduire le temps d'intervention en veillant à ce que les intervenants sachent où se trouvent les données sensibles et leurs vulnérabilités.

Tenable Cloud Security inclut des capacités DSPM qui découvrent et classent en continu les données sensibles dans le cloud. 

Il permet une :

• Détection automatisée des données fantômes dans les environnements AWS, Azure, GCP et SaaS
• Analyse de l'exposition qui cartographie les chemins d'accès, les rôles et les mauvaises configurations
• Remédiation guidée grâce à des intégrations avec les workflows CIEM, CSPM et IaC

Tenable peut aider votre entreprise à réduire les risques liés aux données non gérées, à soutenir le principe du moindre privilège et à réagir plus rapidement aux expositions potentielles.

Découvrez comment Tenable peut vous aider à identifier et à corriger les risques liés aux données fantômes.