En 2017, la sécurité des données sensibles sera une priorité pour tous les dirigeants d’entreprises. Plusieurs fuites massives ont fait la une des médias en 2016, avec parfois des conséquences désastreuses en termes de réputation, de coût et de confiance client.
Tribune par John Newton, CEO d’Alfresco – Au vu de l’impact significatif de ces fuites sur les résultats financiers et la rentabilité future, les décideurs et hauts dirigeants ont replacé la cybersécurité au premier rang des priorités.
En matière de sécurité, la résilience implique avant tout de gérer la prolifération des données, qui ne montre pour l’instant aucun signe d’affaiblissement. Afin de protéger les données les plus sensibles, chaque entreprise doit adopter une stratégie de gestion holistique de l’information. Les décisions doivent prendre en compte la manière dont le contenu est géré et gouverné, l’objectif à terme étant d’éviter la sur-accumulation d’informations.
Les DSI vont concentrer les investissements dans l’identification granulaire des informations plutôt que dans les mesures paramétriques.
Selon le type d’entreprise, le volume d’informations digitales est en moyenne multiplié par deux tous les 3 à 9 mois. Face à la prolifération des données, la réaction instinctive est de vouloir tout protéger : en gardant les informations derrière des pare-feu hyper sécurisés, en déployant des technologies de prévention des pertes de données (DLP) au niveau du paramétrage et des commutateurs principaux, en utilisant les technologies d’inspection des paquets au niveau du paramétrage et en verrouillant les ports USB. Ces mesures contribuent certes à résoudre en partie le problème mais ne prémunissent pas contre de nouvelles violations. En 2017 et au-delà, on constatera chez les DSI une tendance à déterminer d’abord la nature précise des données à sécuriser, avant de définir des niveaux de sécurité différents selon le contenu. Cette nouvelle approche de la gouvernance permettra de clarifier ce qui doit être considéré comme du contenu sensible et de faciliter l’estimation des dommages éventuels en cas de violation. Il ne s’agit pas de verrouiller l’accès à davantage de données pour qu’elles soient inutilisables, mais de les rendre exploitables tout en les protégeant via une gouvernance invisible et omniprésente.
Éliminer les risques de données redondantes, obsolètes ou inutiles
À mesure que le contenu vieillit, il perd de sa valeur pour l’entreprise alors que les risques qu’il représente augmentent. Des études ont montré que jusqu’à 70 % des données d’entreprise sont redondantes, obsolètes ou inutiles (en anglais « redundant, obsolete and trivial » ou R.O.T.) et par conséquent hautement vulnérables. Dans l’affaire Edward Snowden, par exemple, les documents découverts étaient principalement des archives, pas particulièrement pertinentes pour Booz Allen, mais extrêmement pertinentes et dommageables pour le gouvernement américain. Ces archives contenaient des informations sensibles et l’employeur de Snowden n’avait à l’évidence pas mis en place en interne les contrôles, politiques et procédures nécessaires à assurer leur sécurité ; cette affaire a été lourde d’enseignement pour tous les DSI qui n’avaient jusqu’à lors pas beaucoup investi dans la gestion du cycle de vie du contenu. La masse d’informations générées ne peut tout bonnement pas être conservée indéfiniment sans poser de risques pour l’avenir. À un moment ou un autre, les informations doivent être catégorisées et certaines supprimées, en particulier les données inutiles. Dans le domaine de la gestion des informations, chacun sait qu’à mesure que le contenu vieillit, sa valeur pour l’entreprise décroît alors que les risques qu’il représente augmentent de manière exponentielle.
L’essor de la « gouvernance appliquée » aux données non structurées :
Au début de l’année, une fuite massive concernant plus de 20 000 pages de documents ultra confidentiels sur des bâtiments destinés à la marine indienne, notamment les plans de sous-marins Scorpène, a été révélée. Cette fuite est un sérieux revers pour le gouvernement indien. Elle est aussi un exemple flagrant des conséquences d’une protection insuffisante des informations non structurées, telles que des plans stockés dans un logiciel vieillissant. Si vous transposez le cas des sous-marins indiens dans un scénario impliquant les plans d’une centrale nucléaire ou d’un appareil IdO grand public, vous prendrez pleinement la mesure de l’intérêt inestimable à conserver les données de manière sécurisée. Si des plans et fichiers non structurés sont physiquement copiés ou imprimés, ou encore transférés par voie électronique, comment pouvez-vous connaître l’existence de ce contenu ? D’autre part, de plus en plus de secteurs passent à la dématérialisation et les contenus physiques ne vont pas simplement disparaître ; il est nécessaire de trouver comment garder une trace de ce contenu, qui a encore de la valeur. Le suivi de ces « données obscures », en particulier dans l’industrie, sera l’une des priorités en matière de sécurité en 2017.
Malheureusement, les cybercriminels sont de plus en plus organisés. Ils élaborent des attaques et tactiques de plus en plus sophistiquées pour provoquer un maximum de perturbations et de pertes financières pour les entreprises qui en sont victimes. Pour fortifier les défenses et résister en 2017, plutôt que de mettre en place des mesures paramétriques de sécurité supplémentaires pour protéger toutes les données, les entreprises devront d’abord analyser les contenus et les catégoriser pour identifier les données réellement sensibles et utiles. Davantage de ressources doivent être consacrées à évaluer et organiser les contenus (les données digitales, mais aussi les documents physiques qui ont encore de la valeur) et à supprimer de manière proactive les informations non pertinentes et inutiles. En adoptant cette approche en 2017, les entreprises pourront mieux résister aux menaces qui évoluent sans cesse et atténuer leur impact.