T\u00e9l\u00e9charger le livre blanc imprimable.<\/a><\/p>\n \nUne gestion robuste des risques est indispensable dans l'environnement difficile d'aujourd'hui o\u00f9 les attaques num\u00e9riques se multiplient contre les actifs vitaux des entreprises et les donn\u00e9es r\u00e9glement\u00e9es qu'elles sont charg\u00e9es de prot\u00e9ger.\n<\/p><\/blockquote>\n Ce livre blanc traite d'un risque interne et contractuel souvent non d\u00e9tect\u00e9 ou non pris en compte : la r\u00e9cup\u00e9ration des donn\u00e9es.<\/p>\n Une gestion robuste des risques est indispensable dans l'environnement difficile d'aujourd'hui o\u00f9 les attaques num\u00e9riques se multiplient contre les actifs vitaux des entreprises et les donn\u00e9es r\u00e9glement\u00e9es qu'elles sont charg\u00e9es de prot\u00e9ger. La plupart des organisations disposent d'une pratique de s\u00e9curit\u00e9 dynamique \u00e0 plusieurs niveaux incorporant de multiples contr\u00f4les de s\u00e9curit\u00e9 pour prot\u00e9ger ces donn\u00e9es sensibles. Les cons\u00e9quences financi\u00e8res et en termes de r\u00e9putation d'une perte ou d'une alt\u00e9ration des donn\u00e9es font de cette pratique une exigence. Ce livre blanc traite d'un risque interne et contractuel souvent non d\u00e9tect\u00e9 ou non pris en compte - la r\u00e9cup\u00e9ration des donn\u00e9es - qui semble \u00eatre une exception dans une pratique de s\u00e9curit\u00e9 \u00e0 plusieurs niveaux par ailleurs solide.<\/p>\n En cas de d\u00e9faillance d'un dispositif de stockage entra\u00eenant la perte ou l'alt\u00e9ration de donn\u00e9es num\u00e9riques, peu d'organisations disposent des ressources internes n\u00e9cessaires pour r\u00e9cup\u00e9rer ces donn\u00e9es, en particulier en cas de dommages physiques ou de d\u00e9faillance \u00e9lectrom\u00e9canique. L'appareil doit \u00eatre envoy\u00e9 \u00e0 un fournisseur tiers de r\u00e9cup\u00e9ration de donn\u00e9es. Les appareils appartenant \u00e0 l'entreprise contiennent souvent des informations stock\u00e9es \u00e9lectroniquement (ESI) sensibles en termes de s\u00e9curit\u00e9, notamment la propri\u00e9t\u00e9 intellectuelle (IP), les bases de donn\u00e9es financi\u00e8res, les fichiers comptables, les \u00e9changes de courriers \u00e9lectroniques, les dossiers des clients, les PCI, les PII et les PHI. La plupart des entreprises de r\u00e9cup\u00e9ration de donn\u00e9es ne respectent pas les normes des meilleures pratiques pour assurer la protection des donn\u00e9es par la cybers\u00e9curit\u00e9 ; par cons\u00e9quent, les fournisseurs de services de r\u00e9cup\u00e9ration de donn\u00e9es doivent \u00eatre class\u00e9s comme des fournisseurs \u00e0 haut risque. Si une entreprise ne fait pas preuve de diligence raisonnable avant de faire appel \u00e0 un fournisseur de services de r\u00e9cup\u00e9ration de donn\u00e9es, elle court le risque d'une violation de donn\u00e9es qui entra\u00eenera d'importants pr\u00e9judices financiers et de r\u00e9putation. In\u00e9vitablement, il y aura aussi une perte de productivit\u00e9.<\/p>\n Lorsque les cadres dirigeants et les membres du conseil d'administration n'ont pas correctement planifi\u00e9 cette exception, le personnel informatique est laiss\u00e9 \u00e0 lui-m\u00eame pour prendre des d\u00e9cisions en vue de r\u00e9soudre le probl\u00e8me. Sans protocoles sp\u00e9cifiques en place pour g\u00e9rer le sc\u00e9nario de perte de donn\u00e9es, le personnel informatique peut ne pas \u00eatre conscient du risque \u00e9lev\u00e9 associ\u00e9 \u00e0 ce processus, ni comprendre l'impact critique des donn\u00e9es quittant la s\u00e9curit\u00e9 multicouche des installations de l'entreprise et pouvant faire l'objet d'une n\u00e9gligence, d'une fraude ou d'un abus. Une telle action pourrait facilement co\u00fbter \u00e0 une organisation des millions de dollars d'amendes.<\/p>\n La bonne nouvelle, c'est que les changements apport\u00e9s aux politiques et proc\u00e9dures internes, combin\u00e9s \u00e0 des modifications contractuelles avec les entreprises tierces qui traitent les donn\u00e9es d'une organisation, att\u00e9nueront le risque pos\u00e9 par cette exception qui a \u00e9t\u00e9 autoris\u00e9e \u00e0 ne pas \u00eatre prise en compte dans les protections de cybers\u00e9curit\u00e9 par ailleurs solides et stratifi\u00e9es :<\/p>\n En outre, les organisations doivent s'attaquer aux nouvelles menaces potentielles pour la s\u00e9curit\u00e9 des donn\u00e9es au cours du processus de r\u00e9cup\u00e9ration des donn\u00e9es. Elles doivent notamment s'assurer que si un fournisseur de services en nuage fait appel \u00e0 un prestataire de services de r\u00e9cup\u00e9ration des donn\u00e9es, il doit \u00eatre tenu d'en informer l'organisation. Bien que le besoin de r\u00e9cup\u00e9rer des donn\u00e9es puisse \u00eatre urgent, il est crucial que tout soit mis en \u0153uvre pour garantir la protection des donn\u00e9es confidentielles et sensibles de l'organisation au cours du processus de r\u00e9cup\u00e9ration.<\/p>\n Ce document propose une feuille de route pour att\u00e9nuer le risque potentiel li\u00e9 \u00e0 l'utilisation de fournisseurs tiers de services de r\u00e9cup\u00e9ration de donn\u00e9es. La solution \u00e0 ce risque \u00e0 fort impact ne n\u00e9cessite que des modifications peu co\u00fbteuses de la politique et des proc\u00e9dures. Elle garantit que la confidentialit\u00e9, l'int\u00e9grit\u00e9 et la disponibilit\u00e9 des informations sensibles de l'organisation sont pr\u00e9serv\u00e9es pendant le processus de r\u00e9cup\u00e9ration des donn\u00e9es.<\/p>\n Les violations de donn\u00e9es peuvent r\u00e9sulter d'attaques malveillantes, allant du ransomware \u00e0 l'ing\u00e9nierie sociale, en passant par des d\u00e9faillances du syst\u00e8me ou une simple n\u00e9gligence humaine. Une violation de donn\u00e9es peut \u00eatre due \u00e0 des failles de s\u00e9curit\u00e9 internes, \u00e0 un fournisseur tiers ou \u00e0 un fournisseur du circuit d'approvisionnement.<\/p>\n Dans un \u00c9tude de juillet 2022<\/a>Le Ponemon Institute a interrog\u00e9 des membres de 550 organisations ayant subi une violation de donn\u00e9es entre mars 2021 et mars 2022. Les attaques malveillantes ayant entra\u00een\u00e9 une perte de donn\u00e9es comprenaient les ransomwares (11%), les attaques destructrices (17%) et les partenaires commerciaux compromis (19%). Les violations involontaires caus\u00e9es par des actions n\u00e9gligentes d'employ\u00e9s ou de sous-traitants ont entra\u00een\u00e9 21% de violations de donn\u00e9es.<\/p>\n Selon l'Institut Ponemon, le co\u00fbt moyen mondial d'une violation de donn\u00e9es au cours de cette p\u00e9riode s'\u00e9levait \u00e0 4,35 millions de dollars, les \u00c9tats-Unis se situant en t\u00eate du classement avec une moyenne de 9,44 millions de dollars pour une seule violation de donn\u00e9es. Ces co\u00fbts \u00e9taient encore plus \u00e9lev\u00e9s pour les \u00e9tablissements de sant\u00e9 et les institutions financi\u00e8res. En outre, plus le nombre d'enregistrements perdus est important, plus le co\u00fbt de la violation de donn\u00e9es est \u00e9lev\u00e9.<\/p>\n La liste suivante comprend les co\u00fbts associ\u00e9s \u00e0 une violation de donn\u00e9es, qui doivent \u00eatre pris en compte lors de l'\u00e9laboration d'un plan de cybers\u00e9curit\u00e9 :<\/p>\n Une violation de donn\u00e9es co\u00fbtera \u00e0 une entreprise la perte inattendue et non planifi\u00e9e de clients existants. Envisagez de mettre en \u0153uvre des programmes qui pr\u00e9servent la confiance et la fid\u00e9lit\u00e9 des clients afin de r\u00e9duire le nombre d'entreprises\/clients perdus en cas de violation de donn\u00e9es.<\/li>\n Les gouvernements du monde entier exigent que les organisations contr\u00f4lent et assument la responsabilit\u00e9 de la s\u00e9curit\u00e9 des donn\u00e9es r\u00e9glement\u00e9es et des actions de leurs fournisseurs tiers qui traitent ces donn\u00e9es. Parmi les normes publi\u00e9es, les meilleures pratiques, les pratiques raisonnables et les r\u00e9glementations, on peut citer SOX, GLBA, PCI, PII, HIPAA, FERPA, ainsi que les lignes directrices et les directives de FDIC, FFIEC et FCPA.<\/p>\n Toutefois, seuls quelques-uns d'entre eux traitent sp\u00e9cifiquement des fournisseurs de services de r\u00e9cup\u00e9ration de donn\u00e9es. Deux exemples sont pr\u00e9sent\u00e9s ici : le premier provient du National Institute of Standards and Technology (NIST) et le second des Shared Assessments Groups.<\/p>\n \n\"Les organisations peuvent faire appel \u00e0 des fournisseurs tiers pour r\u00e9cup\u00e9rer les donn\u00e9es des dispositifs de stockage d\u00e9faillants. Les organisations doivent prendre en compte le risque de s\u00e9curit\u00e9 li\u00e9 au fait que leurs donn\u00e9es soient trait\u00e9es par une entreprise ext\u00e9rieure et s'assurer que le fournisseur de services fait l'objet d'un contr\u00f4le de s\u00e9curit\u00e9 appropri\u00e9 avant de remettre l'\u00e9quipement. Le prestataire de services et ses employ\u00e9s doivent signer des accords de non-divulgation, \u00eatre correctement cautionn\u00e9s et adh\u00e9rer aux politiques de s\u00e9curit\u00e9 propres \u00e0 l'organisation.\"\n<\/p><\/blockquote>\n \nG.4 Les fournisseurs tiers (fournisseurs de sauvegarde, prestataires de services, maintenance des \u00e9quipements, fournisseurs de maintenance logicielle, fournisseurs de r\u00e9cup\u00e9ration des donn\u00e9es, etc. Dans l'affirmative, existe-t-il :<\/p>\n G.4.1 l'examen de la s\u00e9curit\u00e9 avant de faire appel \u00e0 leurs services (logique, physique, autres contr\u00f4les de l'entreprise) ;<\/p>\n G.4.2 l'examen de la s\u00e9curit\u00e9 au moins une fois par an, sur une base continue ;<\/p>\n G.4.3 l'\u00e9valuation ou l'examen des risques ;<\/p>\n G.4.4 les exigences en mati\u00e8re de confidentialit\u00e9 et\/ou d'accord de non-divulgation ; et<\/p>\n G.4.5 Obligation de notifier les changements susceptibles d'affecter les services rendus ?<\/p>\n<\/blockquote>\n Le respect des normes d'audit, telles que le Statement on Standards for Attestation Engagements (SSAE) et le Service Organization Control (SOC), garantit que tous les aspects de l'installation et du r\u00e9seau sont s\u00e9curis\u00e9s et que les donn\u00e9es personnelles et confidentielles ne sont pas compromises.<\/p>\n Des professionnels certifi\u00e9s, orient\u00e9s vers le contr\u00f4le, qui ont de l'exp\u00e9rience en comptabilit\u00e9, en audit et en s\u00e9curit\u00e9 de l'information, effectuent un audit des objectifs de contr\u00f4le, des activit\u00e9s et des processus connexes de l'h\u00e9bergement de donn\u00e9es d'un fournisseur de services, mesur\u00e9 sur une p\u00e9riode de temps (g\u00e9n\u00e9ralement de 6 \u00e0 12 mois). L'audit se concentre sur l'identification et la validation des normes de contr\u00f4le jug\u00e9es les plus critiques pour les clients existants et potentiels du fournisseur de services, et couvre tous les aspects de la s\u00e9curit\u00e9 dans l'installation, \u00e0 la fois r\u00e9seau et physique.<\/p>\n Depuis l'introduction de la loi Sarbanes Oxley de 2002 (section 404) \u00e0 la suite de la d\u00e9b\u00e2cle d'Enron, l'audit SOC est devenu la norme de l'industrie des entreprises pour une structure de contr\u00f4le globale. Alors qu'un audit SOC de type I v\u00e9rifie la \"description\" des contr\u00f4les et des mesures de protection qu'un organisme de services pr\u00e9tend avoir mis en place, l'audit SOC de type II v\u00e9rifie que tous les contr\u00f4les et objectifs d'h\u00e9bergement des donn\u00e9es sont effectivement en place, con\u00e7us de mani\u00e8re appropri\u00e9e, appliqu\u00e9s et fonctionnent efficacement pour atteindre tous les objectifs souhait\u00e9s en mati\u00e8re de contr\u00f4le de la s\u00e9curit\u00e9.<\/p>\n En 2017, l'American Institute of Certified Public Accountants (AICPA) a promulgu\u00e9 des normes d'attestation actualis\u00e9es pour SOC 1 et 2. Toutes les organisations de services qui souhaitent certifier qu'elles maintiennent des mesures de s\u00e9curit\u00e9 conformes \u00e0 ces protocoles doivent passer le Statement on Standards for Attestation Engagements (SSAE) No. 18, autrement appel\u00e9 SSAE 18, plut\u00f4t que la norme pr\u00e9c\u00e9dente, SSAE 16.<\/p>\n Les nouvelles normes visent \u00e0 faire converger les diff\u00e9rents niveaux de normes de conformit\u00e9 qui existaient auparavant et \u00e0 aligner toutes les normes am\u00e9ricaines sur les normes internationales de conformit\u00e9. Les nouvelles exigences de ces r\u00e8glements comprennent une \u00e9valuation r\u00e9guli\u00e8re des risques et un rapport d\u00e9taill\u00e9 sur les pratiques de s\u00e9curit\u00e9 des services tiers utilis\u00e9s par une entreprise.<\/p>\n Les organisations bas\u00e9es dans l'UE qui traitent les donn\u00e9es de leurs clients doivent se conformer au r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD), qui est entr\u00e9 en vigueur le 25 mai 2018. Ce r\u00e8glement vise \u00e0 garantir la s\u00e9curit\u00e9 et la confidentialit\u00e9 des donn\u00e9es personnelles.<\/p>\n Le GDPR ne s'applique pas seulement aux organisations situ\u00e9es dans l'UE, mais \u00e9galement aux organisations situ\u00e9es en dehors de l'UE si elles offrent des biens ou des services aux personnes concern\u00e9es de l'UE ou si elles surveillent leur comportement. Il s'applique \u00e0 toutes les entreprises qui traitent et d\u00e9tiennent des donn\u00e9es personnelles de personnes r\u00e9sidant dans l'Union europ\u00e9enne, quel que soit le lieu d'implantation de l'entreprise.<\/p>\n Les normes du GDPR visent \u00e0 faire converger les diff\u00e9rents degr\u00e9s de conformit\u00e9 qui existaient auparavant et \u00e0 aligner toutes les normes am\u00e9ricaines sur les normes internationales de conformit\u00e9. Les exigences de ce r\u00e8glement comprennent une \u00e9valuation r\u00e9guli\u00e8re des risques et des rapports d\u00e9taill\u00e9s sur les pratiques de s\u00e9curit\u00e9 des services tiers utilis\u00e9s par une entreprise.<\/p>\n Selon le GDPR, les organisations doivent :<\/p>\n Avant de faire appel aux services d'un fournisseur tiers de r\u00e9cup\u00e9ration de donn\u00e9es, les organisations doivent faire preuve d'une plus grande diligence afin d'att\u00e9nuer le risque de violation de donn\u00e9es. Voici quelques questions \u00e0 se poser :<\/p>\n Les prestataires de services de r\u00e9cup\u00e9ration de donn\u00e9es jouent toujours un r\u00f4le important dans le cycle de vie de l'information de l'organisation, car le nombre et la complexit\u00e9 des appareils augmentent pour faciliter la circulation de l'information.<\/p>\n Les membres du conseil d'administration et les cadres dirigeants, en collaboration avec les directeurs informatiques, doivent travailler ensemble pour combler les lacunes en mati\u00e8re de politique et de s\u00e9curit\u00e9 que pose la n\u00e9cessit\u00e9 pour l'organisation de faire appel \u00e0 des fournisseurs de services de r\u00e9cup\u00e9ration de donn\u00e9es tiers.<\/p>\n La politique doit d'abord porter sur les lignes directrices et les proc\u00e9dures internes, puis les transmettre, par le biais de modifications contractuelles, \u00e0 tous les fournisseurs tiers qui traitent les donn\u00e9es sensibles de l'entreprise.<\/p>\n DriveSavers est le leader mondial de la r\u00e9cup\u00e9ration de donn\u00e9es, avec une solide r\u00e9putation fond\u00e9e sur un service client exceptionnel, des taux de r\u00e9ussite \u00e9lev\u00e9s et le d\u00e9lai d'ex\u00e9cution du service standard le plus rapide du march\u00e9.<\/p>\n For over 40 years, DriveSavers has performed data recovery on every kind of storage device, including hard disk drives (HDDs), solid-state drives (SSDs), smartphones such as iPhone and android phones, tablets, USB flash drives, camera cards and enterprise-level RAID, NAS, and SAN servers.<\/p>\n L'entreprise g\u00e8re tous les types de pertes de donn\u00e9es, y compris les pannes m\u00e9caniques, les d\u00e9g\u00e2ts mat\u00e9riels, les d\u00e9g\u00e2ts des eaux et les incendies, la corruption des donn\u00e9es, les suppressions de fichiers, les pannes de t\u00eate, et bien d'autres encore.<\/p>\n DriveSavers effectue des r\u00e9cup\u00e9rations de donn\u00e9es sur des disques durs, y compris des disques herm\u00e9tiques \u00e0 l'h\u00e9lium et d'autres technologies avanc\u00e9es de disques durs, \u00e0 l'int\u00e9rieur d'une salle blanche certifi\u00e9e ISO classe 5, exempte de poussi\u00e8re et d'\u00e9lectricit\u00e9 statique - la salle blanche de r\u00e9cup\u00e9ration de donn\u00e9es la plus technologiquement avanc\u00e9e de l'industrie.<\/p>\n L'\u00e9quipe de r\u00e9cup\u00e9ration des dispositifs flash comprend certains des meilleurs esprits et des microsoldeurs les plus habiles de l'industrie. C'est le type de stockage de donn\u00e9es qui conna\u00eet les changements et les progr\u00e8s les plus rapides, et DriveSavers r\u00e9cup\u00e8re r\u00e9guli\u00e8rement des donn\u00e9es que d'autres ont jug\u00e9es irr\u00e9cup\u00e9rables. Les talentueux ing\u00e9nieurs de DriveSavers ont \u00e9t\u00e9 les premiers au monde \u00e0 r\u00e9cup\u00e9rer des donn\u00e9es sur des cartes logiques Apple M1 et T2 qui avaient \u00e9t\u00e9 endommag\u00e9es de fa\u00e7on catastrophique et irr\u00e9parable.<\/p>\n Avec la certification annuelle SOC 2 Type II, DriveSavers fournit \u00e0 ses clients le plus haut degr\u00e9 de s\u00e9curit\u00e9 disponible dans l'industrie de la r\u00e9cup\u00e9ration de donn\u00e9es aujourd'hui. De plus, les ing\u00e9nieurs en r\u00e9cup\u00e9ration de donn\u00e9es de DriveSavers sont des experts en cryptage et en technologie de stockage de donn\u00e9es crypt\u00e9es.<\/p>\n Vous pouvez consulter toutes les autorisations et certifications de DriveSavers sur notre site Internet \u00e0 l'adresse suivante www.drivesavers.com\/proof<\/a>.<\/p>\n\n
Introduction<\/h2>\n
![\"Informations](\"\/wp-content\/uploads\/2018\/04\/sensitive-esi-561x1024.png\")
<\/a>\n
2021-2022 Statistiques sur les violations de donn\u00e9es<\/h2>\n
\n
![\"Co\u00fbts](\"\/wp-content\/uploads\/2018\/04\/costs-data-breach-1-749x1024.png\")
<\/a>Normes et protocoles de s\u00e9curit\u00e9
\npour la r\u00e9cup\u00e9ration des donn\u00e9es<\/h2>\nNIST SP#800.34 Rev. 1 - Section 5.1.3, Paragraphe #5 se lit comme suit :<\/h4>\n
Shared Assessments Group -SIG Risk Assessment Tool -Version 6 -Section G. Communications and Operations Management Section reads as follows :<\/h4>\n
SSAE 18 SOC 2 Type II<\/h4>\n
\n\n
\n SSAE 16<\/strong><\/td>\n SSAE 18<\/strong><\/td>\n SOC I<\/strong><\/td>\n SOC II<\/strong><\/td>\n<\/tr>\n \n Le protocole pr\u00e9c\u00e9dent n'abordait pas l'\u00e9valuation des risques de l'entreprise et ne prenait pas en compte la s\u00e9curit\u00e9 des services tiers utilis\u00e9s par l'entreprise.<\/td>\n Le nouveau protocole exige une \u00e9valuation r\u00e9guli\u00e8re des risques et des rapports d\u00e9taill\u00e9s sur les pratiques de s\u00e9curit\u00e9 des services tiers utilis\u00e9s par une entreprise.<\/td>\n Examen de la documentation de l'entreprise ; v\u00e9rification de la documentation des protocoles de s\u00e9curit\u00e9<\/td>\n Examen des syst\u00e8mes de s\u00e9curit\u00e9 en place dans l'entreprise ; examen physique sur place des protocoles de s\u00e9curit\u00e9<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) pour l'Union europ\u00e9enne (UE)<\/h4>\n
\n
Points \u00e0 prendre en consid\u00e9ration :<\/h2>\n
\n
Conclusion<\/h2>\n
![\"liste](\"\/wp-content\/uploads\/2018\/04\/Security-Vetting-Checklist-23.01.03.png\")
\u00c0 propos de DriveSavers<\/h2>\n