Dans le paysage numérique actuel, il est tout aussi important d’assurer la protection de votre infrastructure cloud que celle des données qui y sont stockées. Pour répondre à ces besoins, deux stratégies cruciales ont émergé :
- La gestion du niveau de sécurité cloud (CSPM, Cloud security posture management)
- La gestion de la posture de sécurité des données (DSPM, Data security posture management)
Comprendre les différences et les interactions entre ces deux approches est essentiel pour mettre en place un cadre de sécurité à toute épreuve.
La CSPM et la DSPM en détail
Examinons de plus près comment la CSPM et la DSPM peuvent contribuer à protéger les infrastructures cloud et à sécuriser les données sensibles.
La gestion du niveau de sécurité cloud (CSPM) est axée sur la sécurisation des infrastructures cloud. Pour ce faire, elle identifie et corrige les erreurs de configuration, gère les identités et les contrôles d’accès, et veille au respect des normes de sécurité. Autrement dit, elle surveille et gère en permanence le niveau de sécurité des ressources cloud afin de préserver la sécurité et la conformité de l’environnement cloud.
La gestion de la posture de sécurité des données (DSPM) se concentre quant à elle sur les données à proprement parler. Elle assure la découverte, la classification et la protection des données sensibles dans différents environnements, notamment les systèmes sur site, les plates-formes cloud et les applications SaaS. La DSPM offre une visibilité sur l’endroit où se trouvent les données, les personnes qui y ont accès et les vulnérabilités potentielles. Elle veille à ce que les données sensibles restent protégées et soient conformes aux réglementations applicables.
CSPM ou DSPM ?
Il existe des différences fondamentales entre la CSPM et la DSPM.
Portée et objectif
- La CSPM met l’accent sur les configurations de sécurité et le niveau de protection des composants de l’infrastructure cloud, comme les machines virtuelles, les services de stockage et les réseaux.
- La DSPM est axée sur la sécurité des données elles-mêmes, quel que soit l’emplacement où elles sont stockées. Elle s’appuie pour cela sur une analyse de leur contexte, de leur sensibilité et des comportements d’accès.
Contextualisation
- La CSPM ne dispose pas d’un contexte suffisamment détaillé pour apprécier la sensibilité des données stockées dans l’infrastructure, ce qui peut conduire à des mesures de sécurité trop génériques.
- À l’inverse, la DSPM tient compte du contexte et se concentre sur ce qui compte le plus : protéger les données sensibles en déterminant leur importance et l’environnement qui les entoure.
Gestion des alertes
- La CSPM peut générer de nombreuses alertes, y compris de faible priorité, et ainsi submerger les équipes de sécurité.
- La DSPM hiérarchise les alertes en fonction des risques et de la sensibilité des données, réduisant ainsi les informations parasites pour permettre aux équipes de se concentrer sur les problèmes critiques.
Identification et classification des données
- La CSPM n’inclut pas nécessairement de fonctionnalités d’identification des données.
- La DSPM débute par la découverte et la classification des données, avant de s’étendre à la gestion des accès et à l’identification des risques.
Couverture
- La CSPM s’applique principalement aux composants IaaS (Infrastructure-as-a-Service) et peut ne pas couvrir les banques de données sur site, les clouds privés et les environnements PaaS (Platform-as-a-Service) ou SaaS (Software-as-a-Service).
- La DSPM assure une protection complète des données dans tous ces environnements. La sécurité des données est ainsi préservée quel que soit l’endroit où celles-ci sont stockées.
Gouvernance des accès
- La CSPM ne détecte généralement pas les informations d’accès aux ressources spécifiques aux utilisateurs.
- La DSPM reconnaît les différents niveaux d’autorisation et relations d’accès. Elle applique également le principe du moindre privilège pour protéger efficacement les données.
Complémentarité de la CSPM et la DSPM
Si ces technologies ont des objectifs distincts, elles ne s’excluent pas mutuellement pour autant. Par exemple, la CSPM contrôle le niveau de sécurité du bucket AWS S3 sur lequel Snowflake est installé, mais ne permet pas de déterminer quels utilisateurs peuvent interroger ces données ou l’ont déjà fait. La DSPM, en revanche, offre une réelle visibilité sur l’instance Snowflake et préserve le niveau de sécurité des données au sein de la banque de données cloud.
L’implémentation de ces deux technologies vous permet de bénéficier d’une approche globale de la sécurité :
- Protection renforcée des données. La DSPM identifie et classe les données sensibles, tandis que la CSPM veille à ce que l’infrastructure cloud qui les héberge soit configurée de manière sécurisée.
- Amélioration de la détection des menaces. La DSPM analyse les voies d’attaque ciblant les données. En associant cette analyse à la surveillance de l’infrastructure assurée par la CSPM, vous pouvez bénéficier d’une défense multicouche contre les menaces potentielles.
- Conformité réglementaire. La DSPM répond directement aux réglementations en matière de gestion des données. La CSPM favorise la conformité en préservant la sécurité de l’environnement cloud. Ensemble, ces deux approches réduisent le risque de sanctions pour non-conformité.
Conclusion
L’intégration de la CSPM et de la DSPM à votre stratégie de sécurité vous permet de bénéficier d’une protection complète. En mettant l’accent à la fois sur l’infrastructure et sur les données qui y sont stockées, il est possible de limiter les risques de façon plus efficace et de maintenir un niveau de sécurité robuste.
Découvrez la solution Proofpoint Data Security Posture Management. Pour obtenir des informations plus détaillées, regardez notre webinaire « How Informatica used DSPM to Protect Customer Data » (Comment Informatica tire parti de la DSPM pour protéger les données client).
