Étude de cas

National Parks Conservation Association

Industrie: But Non-Lucratif

Région: DC, États-Unis

NPCA obtient la conformité PCI dans le cloud

National Parks Conservation Association logo

L’Association pour la conservation des parcs nationaux (NPCA) est la seule organisation indépendante, non partisane et composée de membres, qui se consacre exclusivement à la défense du réseau des parcs nationaux américains.

Défi

La NPCA est bien connue comme l’un des principaux défenseurs de la sauvegarde des parcs nationaux américains. Ce que l’on sait moins, c’est que l’entreprise fait preuve d’une diligence considérable pour protéger les données personnelles de ses membres.

Indépendante depuis plus d’un siècle, la NPCA s’appuie sur les dons de ses membres pour mener à bien sa mission de protection des parcs nationaux. En tant qu’organisme à but non lucratif, il est essentiel d’assurer la cybersécurité et de maintenir la confiance des clients. En fait, c’est essentiel pour rester en affaires. Selon Ramadji Doumnande, directeur des opérations et de la sécurité informatiques à la NPCA :

“Vous ne voulez pas devenir la tête d’affiche. Notre organisation repose sur la générosité des gens. S’il y a une brèche massive, les gens ne feront pas de dons. Avec ce type d’atteinte à la réputation, l’avenir de l’organisation serait en péril.”

 

Dans le cadre de la stratégie de gouvernance des données de NPCA, en mars 2020, Ramadji a commencé à faire passer l’entreprise d’un modèle hybride à un environnement basé sur le cloud. L’adoption initiale d’Azure et d’Office 365, puis d’Exchange Online, de SharePoint Online et plus encore, a permis aux employés de NPCA de passer facilement au travail à distance à 100% au début de la pandémie de COVID.

Pour finaliser la migration, il ne restait que deux éléments majeurs : les serveurs de fichiers et les données du département des finances. Le déplacement des données critiques amassées par l’équipe financière exigeait des contrôles particuliers.

 

La visibilité des données PCI, tant sur site que dans le cloud, était primordiale pour maintenir une solide position en termes de sécurité. Selon Ramadji :

“Passer au cloud signifiait que nous avions besoin de nouvelles technologies et de nouveaux processus pour prendre le contrôle des données. Nous avions besoin d’un moyen infaillible pour éviter que les gens ne puissent stocker des données critiques sur des plateformes pour lesquelles nous n’avons pas de visibilité.”

 

 

Solution

Ramadji a choisi Qostodian Recon pour protéger les données de NPCA dans le cloud.

Ramadji utilisait une autre solution de découverte de données, en plus des outils de gestion des risques fournis avec l’investissement Microsoft de NPCA. Cependant, après avoir fait l’expérience des résultats d’analyse rapides et entièrement contextualisés de Recon, il a changé de solution. Recon fonctionne désormais comme une couche de défense supplémentaire aux côtés des outils Microsoft.

 

Selon Ramadji, les options alternatives semblaient lourdes et complexes comparativement à Recon.

“Recon simplifie la tâche complexe de découverte, de classification et d’investigation des données sensibles. L’interface est facile à utiliser. L’installation se fait en deux clics. Malgré sa légèreté, il fournit des résultats entièrement contextualisés plus rapidement que les autres solutions. Le résultat : je suis en mesure de prendre des décisions – et de clore des enquêtes – plus rapidement.”

 

Ramadji est également en mesure de remédier plus rapidement à la situation en prenant des décisions à même Recon. “Je peux voir chaque utilisateur qui possède un numéro de carte de crédit particulier. Si je vois ce numéro de carte de crédit dans un dossier où il n’a pas sa place, je peux le déplacer ou le supprimer.” Ramadji peut également voir tous les doublons dans son environnement et les exclure. “Vous n’avez pas besoin de transporter ces données dans le cloud et augmenter vos coûts de stockage”, dit-il.

 

 

Résultats

Grâce à Recon, Ramadji savait exactement quels contrôles mettre en place pour protéger les données financières. “ Recon m’a livré tous les éléments dont j’avais
besoin pour aller de l’avant avec la migration “, dit-il.

“Ce qui m’empêche de dormir la nuit, c’est de penser que je n’ai pas pris toutes les précautions pour atténuer les risques. Les menaces évoluent si rapidement qu’il est difficile de suivre le rythme de tout ce qui se présente à moi. Avec Recon en place, je peux tout faire. J’ai pu constater la valeur des données que j’avais laissées sur site, tout en continuant à assurer la conformité dans le cloud.”

 

Désormais, Ramadji assure la visibilité et le contrôle de toutes les applications cloud. Il est essentiel de fonctionner sans aucun angle mort. “J’ai besoin que les gens comprennent que la cybersécurité est essentielle. Je passe beaucoup de temps à expliquer les effets potentiels du téléchargement de données sensibles et de leur stockage dans des lieux publics.”

« Pourtant, il y a inévitablement un segment d’utilisateurs qui ne sont pas en règle avec nos politiques et nos directives. Recon m’aide à repérer ces utilisateurs, et à prendre rapidement des mesures pour que non seulement nous soyons conformes, mais que nous évitions une situation potentiellement désastreuse.”

 

 

Consultez les dernières informations sur la gestion des risques liés aux données sensibles

Data Security Harnessing the Power of Data Classification in Management Strategies
Sécurité des données: exploiter la puissance de la classification des données dans les stratégies de gestion
Data Security Posture Management in 2024
Gestion de la sécurité des données en 2024
ISO27001 Certification
Qohash obtient la certification ISO/IEC 27001:2022
Logo Qohash
À l’initiative
Conformité réglementaire:
Trouvez, classez et inventoriez toutes les données sensibles, dans toutes les sources de données
Prévention des violations de données:
Surveillez les données sensibles 24 heures sur 24, 7 jours sur 7, suivez la traçabilité des données et appliquez les politiques aux terminaux
Microsoft 365
Une plateforme facile à utiliser pour sécuriser les données sensibles sur les postes de travail Windows et M365 
Par réglementations​
RGPD
CCPA
GLBA
VCDPA
NYCRR
UCPA
PCI-DSS
CPA
Loi 25
L’effet Qohash
Défier les limites
Témoignages de nos clients

Contact us​

Contactez-nous