À mesure que les architectures informatiques s’étendent et que le recours aux fournisseurs tiers se généralise, les failles cachées se multiplient et mettent directement en danger la résilience des données et la continuité d’activité.
Pour remédier à ce problème, encore faut-il savoir par où engager les efforts. Même si la réponse peut sembler difficile à admettre, une évidence s’impose : tout doit être repris depuis le début. L’immensité des environnements de données et la diversité des réseaux tiers rendent toute stratégie morcelée contre-productive. Plutôt que de répondre au coup par coup aux nouvelles menaces ou aux évolutions réglementaires, une vision globale de la résilience des données doit être instaurée en priorité. Sans cette démarche unifiée, les failles continueront inexorablement à se multiplier.
Les défis liés à l’augmentation constante des volumes de données
Avoir une vision complète de son environnement dans sa totalité est une priorité pour les entreprises qui souhaitent adopter une gestion efficiente de leurs données. La croissance fulgurante des volumes de données est déjà manifeste, et cette dynamique devrait être renforcée par l’adoption de l’IA. Les prévisions indiquent d’ailleurs que le marché de la gestion des données d’entreprise passera de 111 milliards de dollars en 2025 à 243 milliards en 2032. Sans intervention rapide de la part des entreprises, un retard significatif pourrait être pris.
L’arrivée de l’IA n’a pas seulement impliqué quelques ajustements isolés dans l’approche des données, le mode de stockage et le choix des outils de nombre d’entreprises, mais a exigé une transformation plus profonde. L’adoption très rapide de ces technologies a d’ailleurs entraîné une multitude de modifications internes, souvent réalisées sans l’application de processus structurés, entraînant ainsi la formation involontaire de silos. Chaque service intègre l’IA à sa façon et génère ainsi des volumes de données échappant aux circuits organisationnels habituels. Ainsi, même si beaucoup d’entreprises estiment avoir une vision globale de leurs environnements, cette impression est loin d’être réelle.
Explorer de nouvelles approches
La croissance des données d’entreprise ne se limite pas aux infrastructures internes d’une organisation. Pour obtenir une vision complète des parcs de données, elle doit être envisagée à l’échelle de l’ensemble des technologies mobilisées, y compris les solutions fournies par des prestataires tiers. D’après une étude de la Cyber Risk Alliance , une entreprise moyenne collabore avec près de 88 fournisseurs informatiques externes, dont elle dépend largement. Pourtant, ces services restent souvent conçus comme des boites noires, où ni la nature des données stockées ni les mécanismes de résilience appliqués ne sont véritablement rendus visibles.
Les prestataires tiers sont fréquemment sollicités pour réduire en partie la charge opérationnelle liée au déploiement et à la gestion de leurs solutions par les entreprises. Cette délégation conduit toutefois souvent à se concentrer presque exclusivement sur le résultat final, elles négligent souvent l’architecture qui permet à ces services de fonctionner. Les organisations supposent alors que tous leurs besoins sont couverts par leurs fournisseurs ; or, en l’absence d’un modèle de responsabilité partagée explicitement établi, cette confiance peut engendrer, à leur insu, des lacunes critiques dans leur résilience des données.
Par ailleurs, des cadres réglementaires tels que les directives européennes NIS2 et DORA, qui mettent l’accent sur la gestion des risques associés aux données hébergées ou administrées par des prestataires externes, obligent désormais les entreprises à examiner de près la manière dont leurs fournisseurs conçoivent et livrent leurs solutions.
La réglementation montre ses limites
Malgré l’existence de réglementations déployées à l’échelle internationale pour améliorer la résilience des données, de nombreuses organisations restent en retard et surestiment leur niveau réel de robustesse. Un décalage qui découle en grande partie d’une méconnaissance de l’étendue réelle de leurs environnements de données et des risques associés aux fournisseurs tiers.
Même lorsque les organisations se conforment scrupuleusement aux exigences règlementaires, les fournisseurs tiers et les zones moins visibles des parcs de données sont souvent négligés, générant ainsi des lacunes significatives en matière de résilience. Cela ne signifie pas que les réglementations sont insuffisantes, mais plutôt que les entreprises n’ont pas procédé à un examen de leurs environnements de données et leurs prestataires externes avec un niveau de détail suffisant.
Traiter les causes profondes
Au lieu d’attendre qu’une faille, un angle mort ou une porte dérobée soit exploités par un acteur malveillant, il est essentiel que les vulnérabilités soient rapidement identifiées et corrigées. Bien que cette démarche soit complexe, il est indispensable que les entreprises puissent combler efficacement les lacunes de résilience de leurs données. Cela implique de réaliser des évaluations approfondies, portant non seulement sur les dispositifs internes, mais également sur celles déployées par les fournisseurs, afin de mettre en lumière les dépendances et les zones à risque. Les points faibles dans la chaîne d’approvisionnement, les silos de données invisibles et toute autre faille potentielle doivent être détectés et traités avant qu’ils ne puissent être exploités par des acteurs malveillants.
Il ne faut pas se méprendre : cette mission est vaste et complexe, qu’aucune entité ne peut accomplir seule. Pour évaluer et renforcer la résilience des données à cette échelle, la collaboration doit s’étendre au-delà des équipes internes pour inclure les fournisseurs tiers. Comme pour tout projet de grande envergure, la mise en place d’un cadre structurant est déterminante. Par exemple, un modèle de maturité de la résilience des données peut être utilisé comme framework permettant d’évaluer objectivement la posture de l’entreprise et de guider des décisions stratégiques face à la multiplication des cyberattaques et des pannes, indépendamment des prestataires. En suivant une approche transverse définie par ce type de modèle, un plan d’action peut être élaboré pour améliorer la résilience, en coordonnant les équipes informatiques, sécurité et conformité, et en s’assurant que l’ensemble du parc de données et du réseau tiers est correctement couvert.
Une fois ces nouvelles mesures implémentées, il est crucial que les organisations poursuivent des tests réguliers et rigoureux. La résilience des données ne peut être envisagée comme une action ponctuelle : elle constitue un cycle continu d’apprentissage et d’adaptation face à l’évolution constante des menaces. Même si la mise en place de tests complets peut sembler laborieuse, l’effort consenti reste négligeable comparé aux conséquences d’une attaque réelle.
____________________________
Par Dave Russell, Senior Vice President, Head of Strategy at Veeam
puis