Comment les RSSI devraient utiliser la gestion de la posture de sécurité des données pour informer sur les risques

Dans leur forme la plus simple, les plateformes DSPM analysent l’environnement d’une organisation et utilisent une série de classificateurs pour identifier où se trouvent les informations sensibles, vérifier la conformité et détecter les expositions potentielles. Des implémentations plus avancées se connectent aux outils de prévention des fuites de données (DLP) pour appliquer ces règles, et certaines peuvent même déduire de nouveaux types de données ou étiquettes, ou les appliquer automatiquement.

Si vous êtes un processeur de paiement, vous connaîtrez bien les normes PCI sur le stockage des numéros de carte de crédit, ou de la même manière, les normes de stockage PHI dans le secteur de la santé. Les outils DSPM génèrent des exceptions pour garantir que vous respectez ces règles et vous permettent de documenter les exceptions ou les acceptations de risques au sein de la plateforme. La résolution de ces exceptions nécessite un processus impliquant à la fois la sécurité de l’information, les technologies de l’information et les propriétaires de données.

Même si une plateforme DSPM dédiée ne fait pas partie de votre budget, l’exercice principal est le même : gagner en visibilité sur les données de votre organisation afin de pouvoir réaliser de meilleures analyses de rentabilisation concernant les investissements en sécurité pour les systèmes et les environnements relevant de votre compétence.

Que vous travailliez avec une plateforme DSPM complète, un scanner open source léger ou même des inventaires manuels de données, les RSSI peuvent utiliser cette réflexion pour appliquer la quantification (ou au moins un ordre de grandeur) aux décisions en matière de risques. Par exemple, vous pouvez avoir mis en place une politique écrite selon laquelle une base de données peut stocker jusqu’à des enregistrements « restreints » – certaines des données les plus sensibles de votre organisation. Une équipe opérationnelle peut souhaiter attacher un outil d’automatisation du flux de travail à cette base de données pour lui permettre de répondre plus rapidement aux demandes des clients. Un état d’esprit DSPM vous aide à répondre aux questions qui déterminent les décisions associées.

DSPM peut déterminer combien d’enregistrements sont contenus dans une base de données et, couplé à la quantification des cyber-risques, peut vous aider à estimer l’exposition financière qui serait si tous étaient compromis. Il vous indiquera quelles données sont « restreintes » ou « confidentielles » et quels enregistrements sont soumis à une réglementation supplémentaire. Enfin, vous pouvez l’utiliser pour comprendre combien d’utilisateurs ou de rôles peuvent accéder à la base de données, et vous aider à appliquer un rôle plus limité, à ajouter une surveillance ou des alertes de sécurité et à ajouter des points de contact humains aux flux de travail autonomes.

Si cela vous semble trop fondamental, vous vous trouvez peut-être déjà dans un environnement très mature ou réglementé. Mais ailleurs, et en particulier sur le marché bas, il existe de nombreux cas extrêmes et zones grises que ce type d’analyse contribue à éclairer. Surtout, cela nous aide à passer des étiquettes binaires et des décisions tout ou rien à un risque quantifié, accepté et atténué.

Passons à un niveau supérieur et, cette fois, considérons l’ensemble de votre architecture de sécurité. Vous disposez de 15 référentiels « restreints ». Une vulnérabilité critique d’exécution de code à distance est publiée, qui affecte huit d’entre elles, et votre équipe passe en mode réponse aux incidents. Quels sont ceux que vous privilégiez pour l’application de correctifs liés aux opérations informatiques et à l’analyse médico-légale ? Choisissez celui avec les enregistrements les plus sensibles (par rapport aux contrôles compensatoires) et donc la valeur à risque. Vous n’avez pas besoin d’une plate-forme à six chiffres pour prendre cette décision, mais vous devez avoir fait le travail nécessaire pour comprendre où se trouvent vos données les plus sensibles.

Et si vous héritiez de la même architecture d’une transaction de M&A ? Supposons également que la nouvelle acquisition ne compte qu’un seul membre du personnel informatique et aucun personnel de sécurité dédié, et vous avez fait part de vos inquiétudes à ce sujet lors de la vérification. Un budget vous est accordé pour un seul ingénieur de sécurité supplémentaire dans le cadre de la transaction. Comment priorisez-vous leurs priorités en matière d’intégrations de sécurité telles que la consolidation centrale des alertes, le transfert des journaux vers votre SIEM et l’ingénierie de détection ? Encore une fois, privilégiez les systèmes présentant le plus de valeur à risque, en fonction de l’inventaire de données ou de la capacité DSPM dont vous disposez.

Même sans ces scénarios urgents, la réflexion DSPM devrait éclairer de plus en plus votre posture IAM en 2026. Le plus petit dénominateur commun pour les examens d’accès axés sur la conformité est ancré sur les utilisateurs (et non sur les rôles ou les identités non humaines) et encourage la prise de décision binaire. De plus, il existe une forte dissuasion à choisir autre chose que « maintenir l’accès ». Je dirais que DSPM et l’état d’esprit associé devraient informer les niveaux d’autorisation autour de vos systèmes les plus risqués et prendre des décisions sur la manière de les réduire. Cela peut inclure la création de rôles plus récents et plus limités ou l’introduction d’un accès limité dans le temps. Mener des contrôles d’accès sans source de vérité ou sur la seule base de ce qui va se passer est, au mieux, une conjecture et, au pire, une négligence.

Les organisations sont toujours réellement incitées à faire l’autruche lorsqu’il s’agit de sécurité des données ; un processus de pensée simpliste étant que s’ils n’en étaient pas conscients, ils ne pourraient pas être tenus responsables. Mais cette posture devient de plus en plus intenable. L’adoption croissante de l’IA agentique signifie que les préoccupations concernant la découverte de données (lecture seule) qui étaient si répandues en 2023 et 2024 vont se traduire par des actions (lecture-écriture) en 2026, si elles ne sont pas étiquetées ou non atténuées. Le coût de ne pas savoir augmente.

Pour les organisations qui investissent dans une plateforme DSPM, l’un des principaux risques réside dans le niveau d’accès dont elles ont besoin à vos propres données et systèmes. Pour analyser et classer les données, un accès étendu au niveau lecture est requis, et un certain niveau d’accès au contenu rédigé est requis pour interpréter et exploiter les résultats. Cela crée deux impératifs pour les RSSI : évaluer et réévaluer soigneusement vos fournisseurs DSPM et appliquer un contrôle d’accès strict à ces systèmes au sein de votre propre organisation. À cette fin, ce n’est pas un domaine dans lequel rechercher une bonne affaire : sélectionnez uniquement les fournisseurs offrant le niveau de sécurité le plus élevé et les fonctionnalités qui rendent votre équipe de sécurité plus efficace et plus sûre.

Enfin, considérez le coût total de possession, et pas seulement le prix de la vignette du logiciel. Comme mentionné précédemment, ces programmes (avec ou sans outils et logiciels) peuvent être coûteux à maintenir, et en tant que RSSI, votre rôle est d’équilibrer le compromis entre réduction des risques et habilitation commerciale.

Pour les responsables de la sécurité, la question n’est pas de savoir si vous pouvez vous permettre un outil DSPM de premier plan. Il s’agit de savoir si vous pouvez vous permettre de ne pas comprendre vos données. Commencez avec ce dont vous disposez : inventaires manuels, sorties DLP existantes ou outils d’analyse légers. Appliquez la mentalité DSPM consistant à quantifier où se trouvent les données sensibles, qui peut y accéder et ce que cela vous coûterait si elles étaient compromises. Ancrer vos décisions en matière de risques sur ces spécificités, plutôt que sur la peur et l’anxiété, sera très utile pour vous et votre entreprise.