Analyse d'Imperva
Imperva, société de cybersécurité qui protège les applications critiques, les API et les données, met en garde les entreprises françaises contre les coûts considérables de stockage de données et de cybersécurité liés à la conservation de données inutiles. Selon Imperva, les deux tiers des données stockées par les entreprises ne sont plus utiles ou n'ont jamais été exploitées.
La majorité des entreprises n'ont pas mis en place de stratégie de gestion du cycle de vie des données complète ou cohérente, ni de plan indiquant comment et quand détruire les différents actifs de données. Au lieu de cela, de nombreux actifs sont simplement oubliés ou ignorés. Cependant, même si ces données ne sont pas utiles aux entreprises, les cybercriminels peuvent toujours les utiliser pour commettre des vols d'identité ou de propriété intellectuelle, ou pour recueillir des renseignements sur une cible spécifique. Et même si les données sont considérées comme "sans valeur" en interne, il existe toujours un risque d'atteinte à la réputation et d'amendes réglementaires en cas de violation ou de vol.
« Il est stupéfiant de voir le nombre d'entreprises qui paient des sommes considérables pour stocker des données qu'elles n'utiliseront jamais », déclare Gerald Delplace, AVP, EMEA South, Imperva. « Ces entreprises assument des coûts et des risques importants, mais les seuls à en profiter sont les cybercriminels. C'est pourquoi toutes les entreprises devraient envisager de se mettre à la diète en matière de données ».
Plusieurs mesures peuvent être prises par les entreprises pour réduire l'empreinte de leurs données :
- Élaborer une stratégie globale relative au cycle de vie des données : Avant toute collecte d'informations, les parties prenantes doivent être en mesure de répondre à des questions clés telles que : avons-nous besoin de collecter ces informations ? Comment seront-elles utilisées ? Qui y aura accès ? Combien de temps devons-nous les conserver ? Où doivent-elles être conservées ? Et quand et comment allons-nous nous en défaire ?
- Habiliter un Responsable de la Protection des Données (DPO) : Actuellement, un seul actif peut être soumis à plusieurs réglementations différentes, dont certaines peuvent être en conflit direct les unes avec les autres. Ainsi, la mise en place d'un programme de destruction des données inutiles doit être effectuée avec précaution. Les entreprises ont tout intérêt à recruter un DPO expérimenté et à lui fournir les outils et les ressources nécessaires pour prendre la direction des opérations.
- Détection et classification : Chaque entreprise doit procéder régulièrement à la recherche et à la classification des données afin de s'assurer que les stocks de données ne sont pas négligés, quelle que soit la valeur des données qu'ils contiennent. Une approche approfondie de la détection et de la classification peut permettre de découvrir un certain nombre de référentiels de données qui peuvent être supprimés, et d'empêcher les pirates d'utiliser les référentiels abandonnés comme base de travail pour planifier les attaques.
- rrouver des solutions simples : La destruction des données est un processus complexe et continu. Les entreprises devraient saisir toutes les occasions de tirer parti des solutions les plus avantageuses, comme la suppression automatique et permanente des courriers électroniques de la corbeille après un certain nombre d'années.
« On nous dit depuis des années que les données sont le nouveau pétrole, et c'est vrai », déclare Gerald Delplace. « Mais personne ne laisserait traîner sans surveillance des litres de pétrole qu'il n'a aucunement l'intention d'utiliser. S'ils le faisaient, ce ne serait qu'une question de temps avant que cela ne leur retombe dessus - et il en va de même avec les données. Il doit y avoir un besoin clair ou une justification pour préserver une ressource de données - sinon la meilleure chose à faire est de s'en défaire ».