Par Ben Bulpett, EMEA Marketing Director chez SailPoint Technologies Inc.
Vous vous sentez barbouillés ? Ballonnés ? En surpoids ? Il n’est pas question de votre régime alimentaire durant le confinement dû au Coronavirus, mais du volume de données sur vos serveurs.
Durant des années, vous avez accumulé d’énormes quantités d’informations sur vos clients et vos partenaires, qui débordent aujourd’hui et risquent de vous noyer.
Nous avons toujours considéré les données comme une gage essentiel de succès et d’avantage concurrentiel. Plus vous accumuliez de données, mieux vous vous portiez (semblait-il). Mais toutes seules, les données sont inutiles. Elles ont besoin d’outils sophistiqués d’analyse pour les transformer en informations utiles qui peuvent réellement profiter à votre entreprise.
De nouvelles réglementations, telles que le General Data Protection Regulations (RGPD) exigent des organisations qu’elles ne collectent et conservent que les données considérées comme nécessaires (Article 25). En conséquence, il n’est pas surprenant que même alors qu’approche le deuxième anniversaire de la mise en vigueur du RGPD, de nombreuses entreprises ne sont toujours pas capables de respecter les exigences des demandes d’accès aux données personnelles (DSAR).
Également baptisées ‘demandes RGPD’, ces procédures exigent des entreprises qu’elles démontrent une politique claire concernant la suppression des données personnelles. En bref, la gloutonnerie de ces organisations en matière de données les met globalement en danger.
Risques de sécurité
La plupart des cadres supérieurs pensent qu’il est quasiment impossible d’identifier les données anciennes, leur propriétaire et ce qu’elles contiennent. Ceci expose les entreprises à de grands risques de sécurité. Les pirates sont constamment à la recherche de moyens d’accéder à des données d’entreprise. Plus celles-ci détiennent de données, dans une multitude d’endroits différents, plus les pirates disposent de vecteurs d’attaque.
De gros volumes de données inutiles ou périmées accroissent la surface d’attaque d’une organisation car les pirates ne sont pas regardants sur le type de données qu’ils dérobent. Les entreprises ont moins de chances d’avoir une bonne visibilité ou de disposer de capacités de contrôle d’accès pour des données anciennes - car pour elles les équipes informatiques pourront prendre beaucoup plus de temps à identifier des vulnérabilités ou une gestion des données non conforme.
Les manquements au règlement RGPD peuvent aussi avoir de Lourdes conséquences financières. L’UE peut infliger d’énormes amendes aux entreprises en infraction flagrante. Une amende de plus de 14 M€ a récemment été infligée à une société allemande pour manquement au principe de Privacy by Design. Il s’agit de la plus forte amende dans l’histoire de l’Allemagne, où les politiques de protection des données sont particulièrement strictes. La société utilisait un système d’archivage qui n’était pas capable de supprimer des données redondantes ou périmées qui n’étaient plus nécessaires.
La plupart des équipes informatiques sont débordées et concentrées sur d’autres priorités que la sécurité ou la gouvernance des données. Elles ont une capacité limitée à bien faire respecter des directives, donc beaucoup d’entre elles comptent sur les utilisateurs finaux pour gérer correctement leurs données. Mais en réalité la plupart des utilisateurs ne s’occupent pas de trier ou de gérer leurs informations et conservent souvent des documents ou des données “juste en cas” ils seraient utiles à une date ultérieure. Ce problème s’aggrave encore lorsqu’un employé change de fonction et que personne ne gère plus ses données.
En conséquence, lorsqu’elle est en présence d’une demande RGPD, l’entreprise répond avec des données anciennes, espérant que les fichiers non structurés n’aient jamais fait l’objet d’une intrusion. Il ne s’agit pas d’une approche satisfaisante pour gérer des données sur des partenaires et des clients.
Conformité et bonnes pratiques
La plupart des entreprises aimeraient améliorer la qualité de leur consommation de données, à la fois pour adopter une meilleure pratique de gestion et pour améliorer leur conformité aux réglementations. Toutefois, il y a loin de la théorie à la pratique :
- Comment savoir qui est propriétaire des données
- Quand ces données ont été consultées pour la dernière fois ?
- Quelles sont les informations contenues dans les fichiers en question ?
- Contiennent-elles des “pépites” d’informations qui peuvent être utiles à l’entreprise ?
Beaucoup de problématiques liées à l’accès et à la propriété des données en entreprise tournent aujourd’hui autour des identifiants personnels et des profils numériques. Une approche à considérer est un modèle de sécurité centré sur l’identité. Ce modèle peut être crucial pour définir les façons dont une organisation collecte les données, définit les types de données qu’elle collecte, et la durée de rétention de ces données. L’entreprise doit également établir des contrôles pour permettre aux équipes informatiques de vérifier que la nouvelle politique de sécurité a été correctement mise en œuvre.
Il est essentiel d’avoir des outils qui supportent cette approche. Une organisation doit avoir la capacité d’identifier automatiquement et avec précision différents types de données. Spécialement s’il s’agit de données personnellement identifiables ou sensibles, ainsi que des copies, et pour les gérer ou les supprimer conformément aux exigences de la politique de sécurité.
Disposer d’une solution basée sur l’identité pour gérer les données stockées dans les applications et les fichiers ou dossiers est d’une importance primordiale, spécialement avec le deuxième anniversaire du règlement RGPD. Ce n’est qu’avec une approche complète basée sur l’identité qu’une organisation pourra établir quelles données sont stockées dans les fichiers et dossiers, qui accède à ces fichiers, quel usage en est fait, qui est le propriétaire légitime de ces données et quand quelqu’un y a accédé pour la dernière fois. Cette visibilité et cette traçabilité accrues veulent dire que les demandes d’accès peuvent être contrôlées pour TOUTES les données au sein d’une organisation, qu’elles soient structurées ou non structurées. La traçabilité des données obtenue pourra réaliser cette tâche en moins de 20 minutes, garantissant une conformité complète avec le règlement RGPD.
Une approche efficace basée sur l’identité pour gérer les données n’est plus l’apanage des seules grandes entreprises. Avec cet excès de données, dont une grande partie sont soit anciennes, inutiles ou dupliquées, les organisations doivent avoir conscience du fait qu’elles sont déjà en infraction avec les réglementations. Plus les entreprises investissent massivement dans des systèmes de stockage de données, plus elles s’exposent à un risque d’intrusion et potentiellement à une grosse amende.
Pour beaucoup d’entreprises, il est temps de réduire la quantité de données stockées, de détruire tous les documents en excès et de s’engager vers une meilleure gouvernance de leurs informations. Avec le deuxième anniversaire du règlement RGPD, toutes les organisations, des PME aux entreprises multinationales, ont besoin d’adopter une approche complète et approfondie pour gérer TOUTES leurs données, qu’elles soient on non personnellement identifiables.