DSPM (Data Security Posture Management)
Outils qui découvrent en continu les données sensibles à travers le cloud et les SaaS, les classifient, cartographient les chemins d'accès et signalent les expositions — une couche de posture au-dessus du DLP, centrée sur où sont les données plutôt que sur ce qui franchit le périmètre.
Le Data Security Posture Management (DSPM) est une catégorie nommée par Gartner en 2022. Les outils DSPM découvrent en continu où se trouvent les données sensibles dans les stockages objet cloud, les entrepôts de données et les applications SaaS ; les classifient (PII, PHI, code source, données financières) ; cartographient qui et quoi peut y accéder ; et signalent les mauvaises configurations ou les chemins d’exposition inattendus.
La catégorie a émergé parce que l’hypothèse périmétrique traditionnelle ne tient plus : les données clients sont dans Snowflake, BigQuery, S3, Google Drive, Dropbox, Notion, Salesforce — pas derrière un pare-feu. Le DSPM répond à savons-nous encore où sont nos données sensibles, et qui peut y accéder ?
Le DSPM est souvent comparé au DLP. La différence est l’angle d’attaque :
- DLP se place sur les chemins de sortie et inspecte le contenu en mouvement (e-mail, endpoint, upload web). Il demande ce transfert est-il autorisé ?
- DSPM se place sur les données au repos et sur le graphe d’accès. Il demande ces données devraient-elles seulement être atteignables depuis là ?
La plupart des grandes entreprises utilisent les deux. Acteurs représentatifs : Wiz DSPM, Cyera, Varonis, Microsoft Purview, Sentra, Normalyze.
Le DSPM produit fréquemment des constats du type « ce bucket S3 contenant des PII de production est publiquement lisible », « cette page Notion avec des données de salaires est partagée avec tout l’espace de travail » ou « ce partage Snowflake vers un partenaire est dormant depuis 11 mois ». Chacun de ces constats a une histoire humaine derrière — quelqu’un a cliqué N’importe qui avec le lien, quelqu’un a approuvé une portée OAuth, quelqu’un a oublié de révoquer. C’est la couche qu’Engarde observe, distinct des autres acteurs qui partagent le nom Engarde.
Termes liés
- DLP (Data Loss Prevention)Ensemble de technologies qui inspectent les données au repos, en transit ou en usage pour empêcher l'exfiltration d'informations sensibles hors des frontières autorisées.
- CASB (Cloud Access Security Broker)Couche d'application des politiques entre les utilisateurs et les SaaS, qui inspecte le trafic et bloque les actions interdites — le modèle « gardien » de la sécurité SaaS.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- Partage public de fichiersPartage d'un fichier ou d'un dossier SaaS via une option « toute personne disposant du lien » qui contourne l'authentification — la fuite silencieuse la plus fréquente dans Drive, SharePoint, Dropbox, Notion.
- Collaborateur externe dormantCompte externe — ancien prestataire, ex-fournisseur, partenaire d'un projet clos — qui conserve l'accès à un workspace, un fichier ou un canal SaaS des mois ou des années après la fin du travail.