De nos jours, la plupart des grandes entreprises et de nombreuses entreprises de taille moyenne disposent d'une forme ou d'une autre de programme de gouvernance des données, comprenant généralement des politiques de conservation et de destruction des données. Ils sont devenus impératifs en raison de l’augmentation des attaques contre les données des clients et également des lois nationales et nationales exigeant la protection des données des clients. L’ancien état d’esprit « Gardez tout pour toujours » a changé pour « Si vous ne l’avez pas, vous ne pouvez pas le violer ».
D’une certaine manière, la gestion des politiques de conservation des données n’a jamais été aussi simple à mettre en œuvre dans le cloud. Les fournisseurs de cloud disposent souvent de modèles simples et de paramètres de zone de clic pour conserver vos données pendant une période spécifique, puis les déplacer soit vers un stockage numérique froid quasi hors ligne, soit directement vers le compartiment de bits (suppression). Cliquez simplement, configurez et passez à la priorité suivante en matière de sécurité des informations.
Cliquez simplement sur Supprimer ?
Cependant, je vais poser une question délicate, qui me trotte dans la tête depuis un moment. Qu’arrive-t-il réellement à ces données une fois que vous cliquez sur « supprimer » ? sur un service cloud ? Dans le monde du matériel sur site, nous connaissons tous la réponse ; il serait simplement désenregistré sur le disque sur lequel il réside. Les données « supprimées » se trouvent toujours sur le disque dur, disparues de la vue du système d'exploitation et en attente d'être écrasé lorsque l'espace est nécessaire. Pour vraiment l'effacer, des étapes supplémentaires ou un logiciel spécial sont nécessaires pour écraser les bits avec des zéros et des uns aléatoires. Dans certains cas, cela doit être fait plusieurs fois pour véritablement effacer les traces électroniques fantômes des données supprimées.
Et si vous faites affaire avec le gouvernement américain ou d'autres entités réglementées, vous devrez peut-être vous conformer à Norme du ministère de la Défense 5220.22-M, qui contient des détails sur les exigences de destruction des données pour les sous-traitants. Ces pratiques sont courantes, même si elles ne sont pas imposées par la réglementation. Vous ne voulez pas que les données dont vous n’avez plus besoin reviennent vous hanter en cas de violation. La brèche du service de streaming de jeux Twitch, dans lequel les pirates ont pu accéder à pratiquement toutes ses données remontant presque à la création de l'entreprise - y compris les revenus et autres informations personnelles sur ses clients de streaming bien payés - est ici un récit édifiant, ainsi que des rapports d'autres violations de fichiers de données abandonnés ou orphelins au cours des dernières années.
Manque d'accès pour vérifier
Ainsi, bien que les politiques soient plus faciles à définir et à gérer dans la plupart des services cloud par rapport aux serveurs sur site, il est beaucoup plus difficile, voire impossible, de garantir qu'elles sont correctement appliquées conformément à la norme du DoD sur les services cloud. Comment effectuer un écrasement de disque de bas niveau de données sur une infrastructure cloud où vous n'avez pas d'accès physique au matériel sous-jacent ? La réponse est que vous ne pouvez pas, du moins pas comme nous le faisions auparavant – avec des utilitaires logiciels ou la destruction pure et simple du lecteur de disque physique. Ni AWS, Azure ou Google Cloud Services n'offrent d'options ou de services permettant cela, pas même sur leurs instances dédiées, qui s'exécutent sur du matériel distinct. Vous n’avez tout simplement pas le niveau d’accès nécessaire pour le faire.
La sensibilisation des principaux services a été soit ignorée, soit répondue par des déclarations génériques sur la manière dont ils protègent vos données. Qu'arrive-t-il aux données « publiées » dans un service cloud tel qu'AWS ou Azure ?? Est-il simplement posé sur un disque, non indexé et en attente d'être écrasé, ou est-il soumis à une sorte de « mélangeur de bits » pour le rendre inutilisable avant d'être renvoyé dans le stockage disponible sur le service ? Personne, à ce stade, ne semble le savoir ou vouloir le dire officiellement.
S'adapter à la nouvelle réalité
Nous devons développer un manière compatible avec le cloud de procéder à des destructions qui répondent aux normes du DoD, ou nous devons arrêter de faire semblant et ajuster nos normes à cette nouvelle réalité.
Peut-être que les fournisseurs de cloud peuvent proposer un service offrant cette fonctionnalité, car eux seuls ont un accès direct au matériel sous-jacent. Ils n’ont jamais hésité à inventer de nouveaux services payants, et de nombreuses entreprises seraient certainement prêtes à payer pour un tel service si les certificats de destruction appropriés étaient fournis. Ce serait probablement moins cher que les frais facturés par certaines entreprises fournissant des services certifiés de destruction physique.
Amazon, Azure, Google et tous les principaux services cloud (même les fournisseurs de logiciels en tant que service) doivent résoudre ces problèmes avec de vraies réponses, sans obscurcir ni parler marketing. En attendant, nous allons simplement faire semblant et espérer, en priant pour qu'un brillant hacker ne sache pas comment accéder à ces données orphelines, s'il ne l'a pas déjà fait. Quoi qu'il en soit, le des questions difficiles sur la destruction des données dans le cloud doivent être posées et répondues, plutôt tôt que tard.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
