Quels sont les enjeux de la protection des données aujourd’hui ?
La protection des données est une tâche vaste et complexe. Les prestataires de solutions de sécurité doivent inventorier et contrôler les contenus pour éviter tout risque de perte, organiser les ressources les plus précieuses de l’entreprise, en assurer la sécurité, gérer et supprimer les données superflues. Ces dernières années, les principales failles de sécurité ont résulté de l’utilisation détournée d’informations oubliées ou « dormantes ». Edward Snowden, par exemple, a simplement accédé à d’anciennes archives de la National Security Agency (NSA) américaine sans commettre de réel piratage. Aujourd’hui, il ne s’agit plus de sécuriser la multitude de fichiers et contenus stockés par les entreprises derrière le pare-feu. La question est d’identifier les bons contenus à protéger et ceux à supprimer en temps voulu.
En d’autres termes, qui dit non-structuré dit non-sécurisé ?
La faille de sécurité dont a été victime la NSA n’est pas un cas isolé. Les risques existent dans les secteurs tant publics que privés car l’enjeu sous-jacent est très courant. Les données stockées dans Dropbox, Fileshare, SharePoint et autres systèmes de gestion de contenus, dans le cloud ou derrière le pare-feu, sont non structurées. Sans un cycle de vie clairement défini, elles ne peuvent pas être verrouillées, puis supprimées. Sans inventaire des données, les entreprises ne savent pas ce dont elles disposent et ne peuvent donc pas protéger leurs ressources. De plus, les prestataires de solutions cloud proposent des capacités de stockage illimitées ; si bien que de plus en plus de données sont créées et laissées à la dérive, sans contrôle, dans un océan infini d’informations. Les entreprises et individus génèrent et amassent tellement de contenus qu’ils se retrouvent submergés par un véritable tsunami. Pour écrémer et rendre plus efficace le système, il faut gérer sa consommation et choisir un régime adapté pour tirer le meilleur parti de ce que l’on consomme. L’accumulation compulsive de données est l’un des principaux obstacles à la mise en place d’un cycle de vie sain et sécurisé dans l’entreprise.
Comment expliquer cette frénésie de l’accumulation de données ?
Les grandes multinationales sont réticentes à supprimer les données anciennes au cas où elles serviraient par la suite. Elles ont du mal à renoncer à des contenus qui aujourd’hui n’ont pourtant pas de réelle valeur pour l’activité. Curieusement, la valeur de ces données conservées en masse par ces multinationales florissantes est négligeable. Stockées sans être utilisées, elles compromettent la sécurité de par leur existence-même alors qu’elles ne servent à rien. Le contenu dormant crée une contrainte de responsabilité.
Et donc rend les entreprises encore plus vulnérables…
« Connaissez-vous le volume d’informations qui circule dans votre entreprise et la proportion qui génère réellement de la valeur ? », c’est la question que je pose souvent aux dirigeants avec lesquels je travaille et, la plupart du temps, ils sont incapables d’y répondre. Contrairement aux données en mouvement, qui génèrent des revenus, les données dormantes génèrent un risque. Outre la question des revenus, les conséquences légales liées à la masse d’informations sensibles non structurées, comme les dossiers médicaux, qui pourraient être compromises sont encore plus préoccupantes. Souvent, il suffit à un pirate de connaître le mot de passe du portail de stockage pour accéder à l’ensemble des données utilisateur. Même les plus grandes entreprises ont du mal à garantir la sécurité des espaces de stockage, à stocker correctement ces données mais aussi à fournir à leurs collaborateurs un système simple pour les utiliser et les conserver en toute sécurité.
Alors comment faciliter la tâche pour les travailleurs du savoir ?
Les travailleurs du savoir doivent constamment naviguer dans des volumes colossaux d’informations pour y trouver rapidement la bonne version du bon contenu. Il faut leur permettre d’accéder en temps voulu aux informations dont ils ont besoin. Pour ce faire, les entreprises doivent créer un flux numérique, un inventaire des processus métiers, qui donne facilement accès aux ressources utiles. Prenons l’exemple du personnel hospitalier. Comme le prévoit le Centers for Medicare and Medicaid Services (CMS), aux États-Unis, les dossiers médicaux des patients doivent être conservés pendant sept ans au minimum. Si les dossiers sont intégrés à un flux numérique clairement défini avec un cycle de vie précis, les informations des patients sont facilement accessibles au personnel hospitalier dès qu’ils se présentent à l’hôpital. Dans les systèmes sans flux numérique, la conservation et la gestion sécurisée des données reposent essentiellement sur l’utilisateur. C’est pourquoi les entreprises ont déjà dépensé 28 milliards de dollars dans ces technologies et seuls 50 % des projets ECM (Enterprise Content Management) de grande envergure ont été adoptés avec succès.
Les comportements vont-ils évoluer vis-à-vis du stockage des données dormantes ?
La technologie évolue chaque jour en vue d’améliorer ces processus. Il est vrai qu’un travail aussi ennuyeux et fastidieux est plus précis s’il est effectué avec les méthodes d’apprentissage machine et l’intelligence artificielle. D’ici quelques années, les entreprises n’auront, de toute façon, plus le choix. La génération du millénaire refuse de continuer à crouler sous les tâches et rejette de plus en plus les anciennes technologies. Elle veut pouvoir accéder à la version la plus récente des contenus nécessaires à son travail, et ce, aussi efficacement que possible. Les grandes institutions comme les banques et les compagnies d’assurance qui poussent leurs informaticiens à apprendre à coder et protéger les informations constatent déjà des bénéfices en termes de croissance et d’efficacité. Elles se modernisent et renoncent peu à peu aux anciens processus. Il est difficile de rompre avec les anciens systèmes Mainframe, en particulier pour les agences gouvernementales. Traditionnellement, le gouvernement fédéral américain a toujours été plus lent à adopter les technologies modernes. Mais l’impulsion est donnée. Pour preuve le budget alloué au Département de la Défense américain (DoD) pour la lutte contre les cyberattaques, essentiellement à la suite de failles comme celle dont l’Office of Personnel Management (OPM) a été la cible.
Comment pensez-vous que les initiatives de traitement des données va-t-il évoluer ?
À mesure que de plus en plus d’administrations et d’entreprises se modernisent, maîtrisent leurs données et sécurisent les cycles de vie, les composants logiciels des systèmes gagnent en efficacité. À terme, la technologie supplantera toute intervention humaine, remplacera l’utilisateur final et supprimera le « facteur humain » et les erreurs potentielles qui en découlent en termes de sécurité. Que les erreurs soient volontaires ou fortuites, les utilisateurs sont des êtres humains et, contrairement à la technologie, ils ne sont pas infaillibles.
Quid des menaces ?
De plus, les menaces évoluent elles aussi. Les cyberattaques ont toujours visé de gros poissons, comme le DoD et d’autres agences avec les moyens nécessaires pour riposter et se défendre. Toutefois, le terrorisme d’État évolue et de plus en plus de hackers se tournent vers des cibles plus vulnérables comme des hôpitaux ou des institutions financières de moindre envergure. La cyberattaque de 2017 contre le NHS est révélatrice de ce que réserve l’avenir. La technologie utilisée pour contrer les hackers doit anticiper et répondre aux besoins des entreprises et agences gouvernementales : mieux vaut prévenir en protégeant ses données que guérir.
Que recommandez-vous ?
C’est la capacité d’une solution à identifier les données dont la valeur justifie l’intégration à un cycle de vie (où elles sont gérées, utilisées et à terme supprimées) et ce qui doit être verrouillé, conservé à l’écart et rester intouchable qui fera la différence. La clé d’une solution performante, d’un flux numérique efficace et d’une protection sécurisée est l’attention égale portée au processus et aux ressources. Elle permet un contrôle efficace et un processus simple pour bien protéger les données et l’automatisation complète du cycle de vie. De la capture initiale jusqu’à la suppression finale. Parmi les nombreuses menaces qui visent les entreprises et agences gouvernementales, la masse de contenus dormants est la plus négligée. Pour bien prendre en compte cette vulnérabilité, il faut gérer et protéger les données oubliées, silencieuses et « sans importance » avec la plus grande vigilance.
Propos recueillis par Ségolène Kahn
Commentez