Qu'est-ce que la tokenisation des données ?
La tokenisation des données est un processus appliqué aux ensembles de données pour protéger les informations sensibles, le plus souvent les données au repos. Cette technique remplace les données sensibles par des données de substitution non sensibles appelées données de jeton. Les données de jeton auront le même format que les données originales. Par exemple, les numéros de carte de crédit tokenisés apparaîtraient toujours sous un format de seize chiffres.
Avec la tokenisation des données, les données de jeton non sensibles restent dans l'ensemble de données, tandis que la référence du jeton aux données sensibles originales est souvent stockée de manière sécurisée en dehors du système dans un serveur de jeton. Lorsque les données sensibles originales sont à nouveau nécessaires, la relation des données de jeton avec les données sensibles originales peut être consultée sur le serveur de jeton ; cela s'appelle un processus de détokenisation.
Types de tokenisation des données
Les entreprises ont deux options pour la tokenisation des données, qui diffèrent par les vitesses nécessaires pour la détokenisation.
- Tokenisation avec coffre-fort : La tokenisation avec coffre-fort stocke les données de relation entre les données sensibles originales et leur jeton correspondant dans un coffre-fort de serveur de jeton sécurisé, à consulter lorsque les données originales sont nécessaires. La détokenisation de ces données peut prendre du temps, donc si la détokenisation doit se faire à grande échelle, les entreprises peuvent envisager la tokenisation sans coffre-fort.
- Tokenisation sans coffre-fort : La tokenisation sans coffre-fort n'utilise pas de coffre-fort de serveur de jeton mais garde plutôt les données là où elles sont tout en appliquant la tokenisation à l'aide de dispositifs cryptographiques. Les entreprises peuvent choisir cette méthode pour éviter les longs temps de traitement pour consulter les relations dans un coffre-fort de serveur de jeton.
Avantages de l'utilisation de la tokenisation des données
Les techniques de tokenisation des données sont le plus souvent utilisées dans l'industrie du traitement des paiements. La norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) exige que les données sensibles telles que les numéros de carte de crédit soient protégées et que la tokenisation soit reconnue comme une méthode pour y parvenir. Cependant, la tokenisation des données peut être utilisée pour protéger tout type de données sensibles.
Un cas d'utilisation courant des méthodes de tokenisation des données est la protection des informations de santé des patients.
Les entreprises utilisent la tokenisation des données pour :
- Respecter les normes de sécurité de l'industrie : Les entreprises utilisent la tokenisation des données pour respecter les exigences des normes de sécurité de l'industrie, telles que la protection des données de paiement sensibles pour répondre aux exigences de conformité PCI-DSS.
- Réduire l'utilisation abusive des données : Les données tokenisées éliminent un facteur de risque d'utilisation abusive ou détournée des données. Par exemple, sans accès au coffre-fort de jeton ou aux dispositifs cryptographiques pour détokeniser les données, les données sont rendues inutiles en dehors de leur système. Par exemple, un acteur malveillant ne peut pas effectuer d'achats en utilisant des informations de carte de crédit tokenisées.
- Améliorer la confiance des clients : Les clients veulent savoir que des informations importantes telles que leurs informations de paiement sont stockées en toute sécurité. La tokenisation des données peut aider les clients à se sentir confiants que les entreprises avec lesquelles ils font affaire protègent leurs données.
Impacts de l'utilisation de la tokenisation des données
L'impact le plus courant de l'utilisation des techniques de tokenisation des données est de sécuriser les informations sensibles.
- Réduire les vecteurs de menace : La tokenisation des données réduit la capacité des acteurs malveillants à utiliser abusivement les données sensibles.
- Réduire le besoin de contrôles de sécurité avancés : L'utilisation de données tokenisées peut réduire la quantité de données sensibles nécessitant des contrôles de sécurité plus avancés.
Tokenisation des données vs masquage des données
La tokenisation des données est plus couramment utilisée pour protéger les données au repos. Cette technique peut introduire des temps d'attente lorsqu'il faut consulter la relation entre les données de jeton et les données sensibles originales dans le coffre-fort de serveur de jeton.
Le masquage des données est plus couramment utilisé pour protéger les données en cours d'utilisation, le plus souvent dans les environnements de production pour les tests ou dans les applications utilisées par des employés ayant un accès limité aux données réelles.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
