Actualités
#Actualités
17 novembre 2021
#Sécurité #Gouvernance #Cybersécurité
Le data catalog au service de la Cybersécurité
Pour la troisième année consécutive, Dawizz est mentionné dans le **radar de l’écosystème français de la cybersécurité**. La protection des données est une de nos priorités. Aussi nous sommes fiers d'apparaître dans la catégorie « Data Security ». Cette année encore, [Wavestone et Le Hub BPI](https://lehub.bpifrance.fr/ecosysteme-cybersecurite-francais-mapping/) ont mené des entretiens qualitatifs et identifié/cartographié les startups /scale-ups parmi les plus prometteuses du secteur Notre solution de **catalogage des données – data catalog** s’inscrit dans l’une des 7 catégories présentées dans le radar et il s’agit évidemment de la « Data » - Data - Network - Cybercriminals - Risk Management & compliance - Users & their devices - Applications - New Technologies Dawizz est effectivement spécialisée dans la **gouvernance des données** (structurées et non structurées). Éditrice du logiciel MyDataCatalogue, elle accompagne au quotidien ses utilisateurs dans leur démarche de **confidentialité** et de **sécurité de leurs données**, d’hygiène du SI et priorise la **surveillance du SI** (en complémentarité des SOC/SIEM) par une meilleure connaissance de la sensibilité des données présentes dans le système d’information. MyDataCatalogue permet en effet d'automatiser la connaissance des données (structurées ou non) présentes et manipulées au sein du système d'information. Il s’agit d’une solution intelligente et multilingue basée sur des algorithmes de reconnaissance et de classification ## *Quel est l’objectif du data catalog dans une approche de cybersécurité ?* Nous proposons une solution qui permet à nos clients d’obtenir rapidement un **panorama complet des données** de leur système d’information. Nos sondes extraient automatiquement les métadonnées des bases de données d’applications, de fichiers structurés (CSV, excel, txt), et de fichiers non structurés (word, pdf, …). Grâce à un procédé de « machine learning » complété par notre base de connaissance, ces métadonnées (données qui caractérisent la donnée) sont normalisées et classifiées automatiquement par nos algorithmes. Les données sont ainsi publiées dans MyDataCatalogue avec leur métadonnée. Les **standards de la sécurité** comme l'**ANSSI** et le **CIS** (Center for Internet Security), entre autres, plébiscitent le recours à un SOC dans le cadre d'une politique de sécurité renforcée. Les SIEM traitent une masse de données de plus en plus importante et déclenche de ce fait des alarmes trop fréquemment voire de faux positifs, le plus souvent lorsqu'il est déjà trop tard. De plus, l'analyse des logs issus des SIEM sont très chronophages en temps passé pour analyser les impacts ; ceci par manque de connaissance fonctionnelle des données manipulées au sein des applications. Aussi, la complémentarité de notre **solution de cartographie automatique des données** avec reconnaissance du niveau de sensibilité (ceci grâce à des algorithmes), à une approche SOC semble évidente pour permettre à nos clients d'avoir une priorisation dans la gestion des logs issus du SIEM. ## *Pourquoi le catalogage de données est une aide à la décision pour les RSSI /DSI?* Dans un contexte où la croissance des données créées, échangées, stockées est exponentielle, un RSSI, chargé de définir et de s’assurer de la mise en œuvre de la politique de sécurité, doit être omniprésent en préventif, en analyse et en réaction Comme l’indique Alain Bouillé (RSSI de la Caisse des Dépôts), «Le règlement européen RGPD aide l’entreprise à faire l’identification des données personnelles, mais tout reste à faire pour les autres données numériques » Pour être pertinent, le RSSI doit analyser de plus en plus finement les données du SI. Notre solution de catalogage et de cartographie automatique des données permet aux RSSI/DSI des entreprises et structures publics de prendre sereinement des décisions stratégiques, avec une gestion des risques liées à la donnée orientée « protection » tout en optimisant sa performance Pour faciliter les analyses de données par un RSSI, des matchers dédiés Cybersécurité ont été implémentés dans la solution. Des mesures ont également été faites au niveau du déploiement de nos sondes. En effet, une interface dédiée à l’administration de nos crawlers permet de simplifier l’audit du SI des différents serveurs et postes informatiques (gestion du shadow IT). Enfin, un service d'alerte et de notification a été implémenté dans MyDataCatalogue permettant ainsi à un utilisateur ou à une solutions tierces (comme un SOC par exemple) de s'abonner à notre solution et d'être alerté par exemple sur la découverte de nouvelles de données sensibles dans le système d'information ## *Quels sont les cybers risques couverts avec le data catalog ?* **La cartographie des risques** est la pierre angulaire de tout plan d’action sécurité du système d’information. Elle vise à définir toutes les actions nécessaires pour parvenir à un niveau de risque résiduel qui puisse être accepté en toute connaissance de cause, au bon niveau de décision. Le principal enjeu de la démarche pour un RSSI est de bien hiérarchiser les vulnérabilités et ne pas compromettre sa crédibilité en lançant de fausses alertes qui font perdre du temps à ses collègues. Aussi, afin de **sécuriser les données avec efficacité**, avant de savoir comment protéger, il faut se poser la question : que faut-il protéger ? et la réponse passe obligatoirement par un inventaire **précis** et **exhaustif** des données présents dans le patrimoine informationnel avec leur niveau de sensibilité
6 juin 2021
#Gouvernance
Qu'est-ce qu'un data catalog ou catalogue de données ?
Toutes informations (qu'elles soient structurées ou non) présentes dans une organisation peuvent potentiellement favoriser l’innovation, être soumises à de la réglementation ou être simplement mieux partagées … Aussi, quelle que soit l’organisation et son secteur d’activité, **les données sont indispensables**. Mais comment permettre à l’ensemble de ses collaborateurs de trouver et d’accéder aux bonnes informations/données au-dessus des systèmes data encore largement silotés. C’est la raison d’être d’**un data catalog de permettre de démocratiser l’accès aux données**. ## Définition d’un data catalog Un « **data catalog** » est un **outil de gestion des métadonnées** permettant de centraliser la connaissance de son **patrimoine informationnel**. Il doit permettre à chacun, quel que soit son profil, de comprendre et retrouver les informations gérées dans les différentes sources de données (données structurées ou non) du système d’information. Un « data catalog » s’appuie en autre sur un savoir-faire historique … celui des bibliothécaires : l’indexation et la cotation des documents. L'indexation traduit et signale le contenu d'une source de données, tandis que la cotation attribue à cette source une adresse physique. ## L'approche Dawizz pour créer un data catalog L’indexation peut être plus ou moins détaillée en fonction des besoins des utilisateurs et de leur profil. Dans le cas de MyDataCatalogue, nous utilisons deux types d'indexation : - l’**indexation « libre »** qui construite à partir du langage naturel et constituer une folksonomie (ensemble de mots clés) : celle-ci est notamment pratiquée par les utilisateurs eux-mêmes via ce que l'on appelle un “tag” ; - et l'**indexation analytique**, aussi appelée « indexation matière », qui décrit le contenu d'une source à l'aide d’un langage documentaire structuré, c’est-à-dire via un thésaurus. Cette classification se fait de façon automatique car il s’agit de mapper le contenu des sources avec des concepts existants. Quant à la méthodologie de cotation des documents par les bibliothécaires, elle est reprise dans MyDataCatalogue sous forme de cartographie des données, c’est-à-dire de récupération de métadonnées de localisation des sources dans le système d’information. Pour simplifier la recherche de données dans un « data-catalog », il est également intéressant de classifier les métadonnées elles-mêmes. En effet, on peut considérer qu’il existe **3 grandes catégories de métadonnées** sur les données : **des métadonnées techniques**, des **métadonnées fonctionnelles** et des **métadonnées partagées**. L’objectif de cette classification est de permettre différents prismes pour **visualiser son catalogue** : une **vision SI** des données, une vision métier des données et/ou une vision partagée des données. Dans le cas de MyDataCatalogue, nous avons conçu des interfaces différentes (portails dédiés) selon la vision souhaitée, simplifiant ainsi la compréhension des métadonnées par chacun des utilisateurs. Un catalogue de données n'a pas vocation à être statique : il doit donc permettre une **vision exhaustive du patrimoine de données**, de l'**évolution des données dans le temps** (cycle de vie des données) et leurs traitements associés avec éventuellement transfert physique d'un lieu de stockage à un autre (fonction de « **traçabilité** », ou « **Data Lineage** »). Des fonctionnalités avancées de MyDataCatalogue permettent également la création de métadonnées par les données elles-mêmes. En effet, une **analyse des données** permet de compléter les métadonnées déjà associées : par exemple, il est possible d’**automatiser la reconnaissance de typologie de données** dans les applications métiers sans prise en compte des métadonnées déjà associées, comme le nom des attributs des bases de données. Les analyses de métadonnées et de données se font soit en parallèle (approche découverte) soit de façon itérative (approche ciblée). Concrètement, pour piloter une approche de **catalogage des données** (qui souvent fait partie d’une approche plus globale de gouvernance des données), il est recommandé de mettre en place des indicateurs de pilotage associés comme par exemples : Indicateur de niveau de qualité sur les métadonnées techniques Indicateurs de niveau de criticité et de conformité sur les métadonnées fonctionnelles Indicateurs de niveau de consultation sur les métadonnées partagées Pour conclure, un data catalog comme MyDataCatalogue est bien **un outil d’aide à la décision** car il permet de **visualiser et filtrer une masse de données** uniquement par leurs descriptions et la rendre compréhensible voire accessible. Son objectif est de connaître et **localiser l’ensemble de ses données**, cela à des fins de **sécurité**, de **conformité**, **d’optimisation** et bien entendu de partage du **patrimoine informationnel**.
10 février 2021
#Data cleaning #RGPD
Pourquoi mettre en œuvre un processus de Data Cleaning ?
La démocratisation des outils bureautiques, le besoin de collaborer et d’analyser au quotidien, ont largement contribué à l’explosion des documents et au stockage de données dans des fichiers : les données non-structurées constituent à présent une partie importante du patrimoine de données. Il est donc nécessaire de les intégrer dans le processus de cartographie. Mais avant de les analyser, il faut réaliser un **nettoyage des données** : le Data Cleaning. ## Qu’est-ce que le Data Cleaning ? Le Data Cleaning est un processus informatique qui consiste à nettoyer les données avant de faire une analyse de ces dernières. L’objectif du Data Cleaning est d’identifier les données qui sont **obsolètes, incomplètes, corrompues ou encore dupliquées** au sein d’un système d’information. Ces données sont ensuite retirées du **catalogue de données** pour ne pas altérer ou nuire à la précision des données stockées. ## Un volume de données qui explose dans le cloud mais pas que ... Selon des études IDC, les volumes de données devraient atteindre 175 zettaoctets (un zettaoctet = 1 milliard de téraoctets !) à l’échelle mondiale d’ici 2025 … et en parallèle, moins de 0,5 % de ces données seraient actuellement analysées. Le **stockage des données** se fait à la fois dans des serveurs bureautiques dédiés, sur les Clouds » et dans les équipements personnels (ordinateur, disque dur externe…). Aussi, il est nécessaire de nettoyer régulièrement son système d’information afin : - de faciliter sa mise en conformité avec des réglementations telle que le RGPD (par une réduction des sources sensibles) - de minimiser sa surface d’exposition à des risques Cyber,  - de limiter son impact environnemental (le stockage numérique nécessite des serveurs, des data center, du matériel réseau, … dont l’empreinte écologique est plutôt élevée à ce jour), ## Quelques conseils pour mettre en œuvre un processus de nettoyage des fichiers (Data cleansing / Data cleaning) : - Chaque organisation possède des **données sensibles**. Ces dernières peuvent porter sur son activité propre (propriété intellectuelle, savoir-faire, etc.) ou sur ses clients, administrés ou usagers (données personnelles, contrats, etc.). La sensibilisation des équipes aux risques associés à ces données reste encore le premier conseil pour mettre en œuvre une bonne stratégie data et de nettoyage au fil de l’eau, que l’on pourrait nommer ici « hygiène informatique ».  - Chaque organisation doit être capable d’**identifier facilement les données à risques**. Le premier levier, la phase détection des fichiers obsolètes, est généralement le plus radical et efficace : combien de fichiers de plus de 5 ans d’âge sont vraiment nécessaires au fonctionnement d’une organisation ? - Après cette étape de suppression des fichiers obsolètes, la priorisation des actions peut se faire par niveau de sensibilité des données. En effet, une **classification des fichiers** selon leur niveau de risque, permet de hiérarchiser, de minimiser le travail d’analyse, et enfin de prioriser les actions de nettoyage. - Mettre en place une stratégie, une politique de sécurité afin de limiter les accès aux fichiers sensibles (sécurisation au niveau du stockage, gestion des privilèges) - L’automatisation de la démarche par des outils dédiés constitue la garantie d’un processus vraiment appliqué. En effet, au regard du volume, le travail de classification, d’analyse des fichiers ne peut pas être réalisé humainement de façon exhaustive et efficace. Aussi, il est préférable de s’appuyer sur des solutions « intelligentes » implémentant des algorithmes et permettant un audit/monitoring régulier du patrimoine informationnel  Au-delà de la sensibilisation des collaborateurs, il est en effet nécessaire de **centraliser l’identification des données sensibles, et de définir des processus de classification, de nettoyage** des fichiers afin de définir les mesures de sécurité spécifiques pouvant porter sur la sauvegarde, la suppression, la journalisation, les accès, etc.
22 septembre 2020
#Gouvernance #Cybersécurité
Bien identifier les données à sécuriser dans son SI
À l’heure de la **digitalisation** des entreprises et organisations publiques, la **sécurité des données** au sein des systèmes d’information devient un enjeu important pour respecter la réglementation européenne sur la gestion des données. Dans un contexte où les organisations collectent de plus en plus de données, il est nécessaire de mieux gérer le traitement, le stockage et la sécurité des données afin de réduire le **risque cyber**. Alors, s’il est essentiel pour une entreprise ou un organisme public de sécuriser les données personnelles collectées, il n’est pas toujours évident de faire la distinction entre **données sensibles et données personnelles**. ## **Qu’est-ce que les données sensibles ?** Selon le **RGPD**, règlement général pour la protection des données personnelles, les données sensibles sont des données à caractère personnel qui donnent des informations révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Ce sont également les données génétiques, les données biométriques aux fins d'identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique. Ces données peuvent être collectées dans le cas de traitements spécifiques par l’organisation. A noter que pour pouvoir collecter ces informations sensibles la personne doit avoir donné son consentement explicite. Le consentement n’est pas requis si ces données sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée. Il convient aux entreprises et aux organismes publics d’établir une stratégie data pour **améliorer la gestion des données** et former les collaborateurs pour les sensibiliser à la notion de donnée sensible. ## **Quelle distinction fait-on entre les données personnelles et les données sensibles ?** Une donnée à caractère personnelle est une information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc. Peu importe que ces informations soient confidentielles ou publiques. Ces données personnelles peuvent être collectées stockées et traitées en respectant une durée de conservation prédéfinie à l’avance par l’organisation ou en rapport avec le référentiel des durées de conservation de la CNIL. Seulement, depuis la mise en place du règlement général sur la protection des données, il est impératif pour une entreprise ou un organisme public de sécuriser efficacement ces données personnelles. ## **Comment identifier les données sensibles ou personnelles collectés dans son SI ?** Dans le cadre d’une politique de **gouvernance de données**, les entreprises et les organisations publiques doivent définir l’ensemble des processus qui permet d’exploiter au mieux les informations par tous les collaborateurs. La première étape dans une stratégie de gouvernance de données est de **cartographier** l’ensemble des informations collectées dans son SI. Cette cartographie procédera à une analyse complète des données collectés dans le but d’harmoniser et mettre en commun l’information en temps réel. Cette analyse sera à même de **détecter les données sensibles** dont le traitement est de principe interdit, des **données personnelles qui sont à sécuriser** et à trier afin que chaque collaborateur au sein de chaque service puisse les exploiter rapidement et efficacement.
29 juin 2020
#Presse
Data Security: radar 2020 de l'écosystème cybersécurité
Pour la seconde année consécutive, Dawizz est mentionné dans le radar de l'écosystème français de la cybersécurité. La protection des données est une de nos priorités. Aussi nous sommes fiers d'apparaitre dans la catégorie "Data Security". Cette année encore, [Wavestone et Le Hub BPI](https://lehub.bpifrance.fr/ecosysteme-cybersecurite-francais-mapping/) ont identifié et cartographié les différents acteurs en 6 grandes catégories: - Applications - **Data** - Network - Cybercriminals - Risk Management - Users & Devices ### Data Security Notre solution, MyDataCatalogue, permet de réaliser une cartographie des données de votre Système d'Information. Cette étape est incontournable pour toute organisation désireuse de définir un plan de protection des données. Que vous soyez, DSI, RSSI ou DPO, vous savez combien cette étape est fastidieuse. Ne négligez pas la sécurité des données par manque de temps. ### Enjeux majeur La sécurité des données est déjà un enjeux majeur pour beaucoup d'entreprises et d'organismes publics. Notons qu'en 2019, c'est 67% des entreprises françaises qui ont été victimes de cyberattaques en France… alors que seules 10% d'entre elles sont aptes à y faire face ! Le chemin qui reste à parcourir est encore long, mais c'est en se dotant d'outils performants que chaque organisation pourra se préparer au mieux. ### Outils spécialisés Grâce à ce mapping, vous pouvez identifier les acteurs majeurs de la cybersécurité en France. L'heure est à la souveraineté numérique. La crise que nous venons de traverser l'a bien souligné. Maitriser sa chaine de défense est indispensable. Vous trouverez des spécialistes qui répondent à vos problématiques. Soyez curieux, et n'hésitez pas à solliciter les start-up françaises, elles ont une pleine maitrise de leur domaine d'activité. ### Cyber résilience L'ensemble des organisations doivent désormais intégrer la gestion des risques cyber dans leur pilotage stratégique et répondre à ces questions: - Comment être sûr d'être bien équipé et bien protégé ? - Est-on être capable d'affronter de nouvelles menaces ? - Avons-nous un plan d'action pour remettre les activités en marche en cas d'attaque ? - Data Security Radar 2020 de l'écosystème français de la Cybersécurité
3 juin 2020
#Sécurité #Protection
Télétravail et sécurité des données: l'éternel dilemme
Le mois de mars 2020 restera dans les mémoires à bien des égards. La sécurité des données peut paraitre anecdotique à côté de la pandémie mondiale que nous connaissons actuellement. Néanmoins la mise en télétravail de millions de personnes, parfois de façon improvisée et précipitée, n'a pas été sans heurt. Les DSI n'ont pas compté leurs heures pour accompagner cette transition radicale pour beaucoup d'organisations, privées ou publiques. Près de 40% des français ont télétravaillé pendant cette période, et continue de le faire partiellement aujourd'hui. ## Prévention et sécurité des données En fonction des pratiques et des cultures, certaines organisations avaient déjà sensibilisé leurs employés aux risques cyber en télétravail. En effet, les personnes "isolées" sont plus exposées aux cyber-malveillances. Ainsi la sécurité des données de leur organisation peut être mise à mal. La multiplication des outils de communication peut apporter de la confusion et faire perdre les "bons réflexes". Le plus dur est derrière nous pensent certains, d'un point de vue sécurité des données... pas si sur. En effet, la période post confinement apporte avec elle d'autres questions pour bon nombres de DSI et de RSSI. La précipitation, liée à l’urgence de la situation, a contraint de nombreuses organisations, privées et publiques, à exposer leur SI à des vulnérabilités extérieures. ## Auditer vos postes pour mieux gérer les risques cyber Dans un premier temps, avez-vous pensez à auditer les postes informatiques en retour de confinement ? C'est une action rapide et efficace pour vous identifier des données sensibles que vos salariés peuvent avoir laissé sur leurs postes. Avec MyDataCatalogue, vous obtenez une vision nette et précise des zones à risques dans votre SI. Efficace en cette période où le temps de chacun est compté. Vous trouverez une liste complète des "bons" gestes à adopter sur cybermalveillance.gouv. Si vous souhaitez en savoir plus, inscrivez-vous ici au webinar du 16 juin à 11h30. On vous dira tout sur la meilleure manière de réaliser un audit de vos postes. Et d'ici là, n'oubliez pas les gestes barrières et les bons réflexes cyber.
25 mai 2020
#RGPD
La conformité des données déconfinée, le RGPD fête ses 2 ans
La conformité des données en cette période de déconfinement célèbre un anniversaire important en ce début du mois de mai. En effet le RGPD souffle sa deuxième bougie. Déjà 2 ans ! Tant de chemin parcouru, et tant de choses à accomplir (encore). Chez Dawizz, nous poursuivons notre investissement pour que jour après jour, les données personnelles de nos clients et partenaires soient correctement protégées. Petite pierre à l'édifice, nous participons à un cycle de conférences auprès d'étudiants sur le sujet de la conformité des données. Car ils sont l'avenir et porteront le monde demain. C'est grâce à une conférence à distance que Pauline Le Dreff a assuré ses engagements auprès de l'[ENSIBS](https://www-ensibs.univ-ubs.fr/fr/index.html). Le lundi 25 mai avait lieu une conférence sur les enjeux de la conformité des données pour les étudiants de 1ère année. La culture de la protection des données est l'essence même de leurs études en cybersécurité. Mais il est toujours extrêmement intéressant de constater avec quelle rapidité les étudiants curieux, professionnels et pertinents s'approprient un tel sujet. Nul doute qu'avec une "nouvelle génération" informée et sensibilisée, la gouvernance des données sera boostée au coeur des problématiques des organisations qui les accueilleront. Une fois évoquées avec eux les notions de privacy by design et privacy by default, les aspects réglementaires et leurs impacts. Les étudiants ont pu laissé libre court à leurs questions: - Quid de la norme iso 27701 ? - Comment faire lors de l'envoi de newsletter ? - Comment s'assurer que les obligations RGPD sont bien respectées ? - Quels impacts pour les entreprises non européennes ?