Protégez vos données tout au long de leur cycle de vie

mercredi 30 septembre 2020 par Tilly Holland

DST_image_970x300_hero-Encryption

Les données sont essentielles au succès d'une organisation. Mais plus une organisation gère d’informations, plus elle prend de risques. Une organisation peut accumuler des données d'entreprise en supposant qu'il vaut mieux les conserver en cas de litige ou qu'il est moins coûteux et plus facile de les stocker que de les détruire. Le plus souvent, ce n’est pas le cas. La plupart des données des entreprises deviennent rapidement obsolètes. Seules quelques industries ont besoin de conserver des données indéfiniment. Lorsque les données ne sont plus utiles, elles deviennent une responsabilité pour l’organisation et risquent de l’exposer à des risques importants.

Les données aujourd’hui

Le Groupe Radicati estime qu'en 2021, nous enverrons 320 milliards d'e-mails par jour. Une quantité de données inconcevable. Nous produisons plus de Big Data que jamais, et ce, à un volume de plus en plus rapide. Les organisations doivent donc être plus que jamais conscientes des risques liés à la gestion des données. 

La transformation numérique s’installe. Selon l’étude Big Data and AI Executive Survey 2019 de New Vantage, 91,6 % des organisations investissent dans les Big Data et l'IA. Les entreprises d’aujourd’hui doivent non seulement gérer des sauvegardes sur bande et sur disques durs, mais elles possèdent aussi des appareils mobiles, des cartes mémoire et, aujourd’hui plus que jamais, des environnements virtuels. Quelles que soient les données produites par une entreprise, la gestion des données tout au long de leur cycle de vie est essentielle pour garantir la sécurité et la conformité des organisations. 

Vous trouverez ci-dessous quelques exemples récents d’organisations qui ne parviennent pas à gérer efficacement leurs données : 

En 2019, une importante atteinte à la confidentialité de données personnelles s'est produite au Japon, où 18 disques durs utilisés par le gouvernement de la préfecture de Kanagawa pour stocker les données des contribuables ont été mis aux enchères en ligne au lieu d'être détruits. Vendus en ligne par un employé d’une société de recyclage basée à Tokyo, les disques durs devaient être détruits de façon sécurisée. Les données figurant sur les appareils vendus s'élevaient à 27 téraoctets et comprenaient les noms, adresses et relevés de paiement des impôts des particuliers. 

La société de cartes de crédit Capital One a également été touchée en 2019. Dans ce cas, un pirate a dévoilé plus de 106 millions de demandes de cartes de crédit et comptes clients. L’auteur a été rapidement arrêté, mais pas avant que le mal ne soit fait, les enquêtes ayant révélé que certains documents remontaient à 14 ans. 

Une étude commandée par Ontrack en partenariat avec un spécialiste de l’effacement de données, Blancco, a analysé 159 disques d’occasion achetés sur eBay. Les résultats ont été stupéfiants : des données résiduelles sensibles ont été trouvées sur 42 % des disques, dont 15 % contenaient des informations personnelles identifiables, notamment des passeports, des certificats de naissance, des documents universitaires, des dossiers financiers et des photos.

Les dangers des données

Il existe trois principaux types de données qu'une organisation peut stocker :

  • Données sur les clients : il s’agit d’informations personnelles susceptibles d’identifier une personne spécifique, par exemple un nom, une adresse, des coordonnées bancaires, ou des dossiers médicaux,
  • Données sur les employés : ces données comprennent des informations personnelles identifiables concernant les employés, mais aussi des informations concernant le salaire, les évaluations de performance et tout dossier disciplinaire,
  • Données sur l’entreprise : il peut s’agir d’informations sensibles telles que les données de recherche et développement, les communications relatives aux fusions et acquisitions, les listes de clients, les états financiers, les transactions de la chaîne d’approvisionnement et les secrets commerciaux.

Comme nous l’avons déjà mentionné, plus une organisation gère de données, plus elle prend de risques. Ces dernières années ont connu une augmentation substantielle des cyberattaques, dont le but principal est de voler les données des entreprises et de fixer une rançon pour les récupérer « en toute sécurité ». En fait, le dernier rapport de McAfee indique qu’au cours du premier trimestre 2019, les attaques de ransomware ont augmenté de 118 %. Et non seulement le nombre d’attaques a augmenté de manière significative, mais plusieurs nouvelles familles de ransomware sont apparues, ce qui montre que les cybercriminels utilisent des techniques plus innovantes pour semer le chaos.

Les organisations doivent prendre en compte les risques d’exposition de leurs données, mais aussi le coût de la protection des données en premier lieu. Plus vous avez de données sur les serveurs, les bandes de sauvegarde et les appareils mobiles, plus vous devez investir pour en assurer la sécurité. La cybersécurité doit être une priorité absolue pour les entreprises de toute taille souhaitant se protéger contre une multitude de menaces en constante évolution. Selon une étude sur l’état de la gestion des risques dans les entreprises en 2020 (State of Enterprise Risk Management 2020) réalisée par l’ISACA, le CMMI et l’Infosecurity Group, 53 % des personnes interrogées ont déclaré avoir constaté un risque accru pour leur organisation au cours des 12 derniers mois. En outre, 29 % des personnes interrogées estiment que la cybersécurité est la catégorie de risque la plus dangereuse à laquelle sont confrontées les entreprises aujourd’hui, et 33 % pensent que le risque lié à la cybersécurité et aux informations sera la catégorie de risque la plus importante à laquelle sera confrontée leur organisation dans les 18 à 24 prochains mois.

La sécurité des données n'est pas la seule source de coûts

Une organisation ne doit pas seulement se méfier du coût de la cybersécurité et du risque de violation des données. Il existe existe également des éléments moins mesurables qu’une organisation doit prendre en compte. Par exemple :

  • Le coût de l’acquisition et de la maintenance des équipements de stockage et de sauvegarde des données,
  • Le coût de la préservation des processus et des logiciels utilisés par le personnel pour gérer le stockage des données à court terme, la sauvegarde sur site à court terme et l’archivage des données hors site à long terme,
  • Le temps et les ressources utilisées par les employés qui doivent passer au crible les données inutiles pour trouver des informations pertinentes. La réduction de la productivité de la main-d’œuvre peut en effet coûter aux organisations des centaines de milliers d'euros chaque année.

Vous voulez en savoir plus sur la manière de protéger vos données tout au long de leur cycle de vie ? Notre dernier rapport examine les six étapes du cycle de vie des données et explique pourquoi il est si important de vous assurer que vous disposez d'une stratégie à jour protégeant les données à chaque étape. Vous pouvez télécharger le rapport en anglais (.pdf).