L’avenir de la sécurité : données et identité, deux faces d’une même médaille

Notre monde continue de tourner autour des données. C'est pourquoi l'évolution du paysage de la sécurité exige de nouveaux processus et technologies pour les sécuriser.

Our world continues to revolve around data – and that’s why the evolving security landscape demands new processes and technologies to secure it.

Notre monde continue de tourner autour des données. C'est pourquoi l'évolution du paysage de la sécurité exige de nouveaux processus et technologies pour les sécuriser.

By 2025 the global dataverse will reach a massive 181 zettabytes. While this explosion will undoubtedly lead to unprecedented opportunities for business, it also amplifies the risk factors – particularly when it comes to protecting business-critical data.

D’ici 2025, le dataverse mondial atteindra la taille massive de 181 zettaoctets. Si cette explosion entraînera sans aucun doute des opportunités sans précédent pour les entreprises, elle amplifie également les facteurs de risque, notamment lorsqu'il s'agit de protéger les données critiques de l'entreprise.

One security challenge stands out: identity. After all, we must make data accessible to business stakeholders, whether internal, or third-party, for it to get used to enter new markets, analyze customer insights, and develop new products to outpace the competition.

Un défi de sécurité se démarque : l’identité. Après tout, nous devons rendre les données accessibles aux parties prenantes de l'entreprise, qu'elles soient internes ou tierces, pour qu'elles puissent s'en servir pour pénétrer de nouveaux marchés, analyser les informations des clients et développer de nouveaux produits pour devancer la concurrence.

In the age of AI, where 72% of teams say they are already leveraging some form of AI services at work, the lines between data and identity security are starting blur more than ever.

À l’ère de l’IA, où 72 % des équipes déclarent déjà exploiter une certaine forme de services d’IA au travail, la frontière entre la sécurité des données et la sécurité des identités commence à s’estomper plus que jamais.

Think about an enterprise Co-Pilot, like Microsoft Co-Pilot or Glean. Those of us in the industry refer to these as non-human identities (NHI). These apps let employees quickly and efficiently find the information they are looking for across Microsoft 365, Google Drive, Box, Confluence, Notion, and many other platforms. However, the ability to do so securely depends on the native permissions in these platforms.

Pensez à un co-pilote d'entreprise, comme Microsoft Co-Pilot ou Glean. Ceux d'entre nous qui travaillent dans l'industrie les appellent des identités non humaines (NHI). Ces applications permettent aux employés de trouver rapidement et efficacement les informations qu'ils recherchent sur Microsoft 365, Google Drive, Box, Confluence, Notion et bien d'autres plateformes. Cependant, la possibilité de le faire en toute sécurité dépend des autorisations natives de ces plates-formes.

So why we are only now discussing the need to align data and identity. To me, it’s a simple answer: few security vendors in the market address this convergence effectively. This forced security teams to manually stitch together disparate processes and tools on their own. Data discovery and classification tools of the past struggled with speed, the ability to support hybrid environments, and had poor precision – which led to false positives, and weakened data security posture.

C’est pourquoi nous discutons seulement maintenant de la nécessité d’aligner les données et l’identité. Pour moi, la réponse est simple : peu de fournisseurs de sécurité sur le marché abordent efficacement cette convergence. Cela a obligé les équipes de sécurité à assembler manuellement elles-mêmes des processus et des outils disparates. Les outils de découverte et de classification des données du passé peinaient en termes de rapidité, de capacité à prendre en charge des environnements hybrides et manquaient de précision, ce qui entraînait des faux positifs et affaiblissait la sécurité des données.

But technology was not the only factor. Siloed internal security processes, disparate organizations, and a lack of communication across these teams also played an important role. Data was left to the data security team. Identity was left to the identity management team.

Mais la technologie n’était pas le seul facteur en cause. Les processus de sécurité interne cloisonnés, les organisations disparates et le manque de communication entre ces équipes ont également joué un rôle important. Les données ont été laissées à l'équipe de sécurité des données. L'identité a été laissée à l'équipe de gestion de l'identité.

Moving forward, the days of viewing data and identity as distinct entities are numbered. These two sides of the same coin must be integrated more closely than ever before. Data security teams are asking where their sensitive data resides and who has access to it, and identity teams are asking if this user should have access to this data. This helps make it simpler for security teams to align data security with identity management, and helps foster the zero-trust principle of minimizing over-privileged access.

À l’avenir, les jours de visualisation des données et de l’identité en tant qu’entités distinctes sont comptés. Ces deux faces d’une même médaille doivent être intégrées plus étroitement que jamais. Les équipes de sécurité des données se demandent où résident leurs données sensibles et qui y a accès, et les équipes d'identité se demandent si cet utilisateur doit avoir accès à ces données. Cela permet aux équipes de sécurité d'aligner plus facilement la sécurité des données sur la gestion des identités, et contribue à favoriser le principe de confiance zéro consistant à minimiser les accès trop privilégiés.

Data security programs must work to include identity access management, and identity access management programs must work to include data security. We don’t have to make this difficult: Security teams need to know where their sensitive data resides and who or what has access to that data. And, identity managers need to know what identities are operating within their environment, and then, under what context.

Les programmes de sécurité des données doivent s’efforcer d’inclure la gestion des accès aux identités, et les programmes de gestion des accès aux identités doivent s’efforcer d’inclure la sécurité des données. Nous n'avons pas besoin de rendre cela difficile : les équipes de sécurité doivent savoir où se trouvent leurs données sensibles et qui ou quoi a accès à ces données. Et les gestionnaires d’identité doivent savoir quelles identités opèrent dans leur environnement, puis dans quel contexte.

When speaking with CISOs about this, I like to use what we call “The OneDrive” scenario. Consider the security implications if a service like OneDrive were compromised for the company’s top 20 executives:

Lorsque j’en parle avec les RSSI, j’aime utiliser ce que nous appelons le scénario « OneDrive ». Considérez les implications en matière de sécurité si un service comme OneDrive était compromis pour les 20 plus hauts dirigeants de l'entreprise :

In 99% of cases, nobody knows. It’s critical that organizations can quickly discover and classify their data across all of their environments, understand who and what – both human and non-human identities – have access to sensitive data – as well as remediate unnecessary access.

Dans 99% des cas, personne ne le sait. Il est essentiel que les organisations puissent rapidement découvrir et classer leurs données dans tous leurs environnements, comprendre qui et quoi (identités humaines et non humaines) ont accès aux données sensibles, et remédier aux accès inutiles.

The inability for most to respond to these questions underscores the importance of understanding the interconnectedness of data and identity. By getting this right, the time to value becomes immediate. Teams can minimize overprivileged access to align with zero-trust principles of data access. They can safely adopt AI without increasing business risk.

L’incapacité de la plupart des personnes à répondre à ces questions souligne l’importance de comprendre l’interdépendance des données et de l’identité. En faisant les choses correctement, le moment de valoriser devient immédiat. Les équipes peuvent minimiser les accès trop privilégiés pour s'aligner sur les principes de confiance zéro en matière d'accès aux données. Ils peuvent adopter l’IA en toute sécurité sans augmenter les risques commerciaux.

The future of security lies in a unified approach that treats data and identity as two sides of the same coin. It takes co-evolution – the process of continuing to evolve together. Only such as unified approach will let us adopt AI securely. Security teams that do this well will win the hearts and minds of the businesses.

L’avenir de la sécurité réside dans une approche unifiée qui traite les données et l’identité comme les deux faces d’une même médaille. Cela nécessite une co-évolution – le processus consistant à continuer à évoluer ensemble. Seule une approche unifiée nous permettra d’adopter l’IA en toute sécurité. Les équipes de sécurité qui réussissent bien gagneront le cœur et l’esprit des entreprises.