Il ne se passe plus un jour sans que la sécurité des données ne fasse l’objet d’un article dans la presse, ou que l’on apprenne qu’elles ont été volées et potentiellement partagées avec des tiers.
Toutes les entreprises veulent faire de leurs données un atout qui les aide à améliorer la compréhension qu’elles ont de leur activité. Nombre d’entre elles, indépendamment de leur taille et de leur secteur d’activité, ne sont pourtant pas sûres du niveau de risque associé à la façon dont elles les ont recueillies, ni de l’endroit où elles les ont stockées ou de la manière dont elles les ont partagées et utilisées.
Vous reconnaissez peut-être vos entreprises dans ces doutes. Vous pensez peut-être que le risque associé à la conservation des données est l’affaire de quelqu’un, mais que ce quelqu’un n’est vraisemblablement pas vous ? Si c’est le cas, vous feriez mieux d’y réfléchir à deux fois.
A l’ère du numérique, il est essentiel que la sécurité et la gouvernance soient au premier plan des préoccupations de toute entreprise. Les risques liés aux données et leurs implications s’étendent maintenant aux thématiques abordées dans les salles de conférence.
L’utilisation de renseignements personnels identifiables (RPI) – à savoir toute donnée qui pourrait permettre d’identifier une personne en particulier – augmente dans tous les secteurs. Le cabinet d’analystes IDC prévoit que le volume total des données mondiales passera de 33 zettaoctets en 2018 à 175 zo en 2025, soit un taux de croissance annuel de 61 %.
Toutes ces informations ne sont pas des RPI, mais une grande partie des données détenues par les entreprises seront néanmoins considérées comme sensibles par les clients. Selon IDC, le rôle de l’entreprise en tant que gestionnaire de données continue d’évoluer parallèlement à l’augmentation de leur caractère potentiellement sensible. Toujours selon ce cabinet, non seulement les consommateurs en sont conscients, mais ils l’autorisent dans une certaine mesure.
Comprendre le défi de la gouvernance et de la sécurité des données
La prise de conscience de l’importance de la gestion de ces données explique en partie l’intensification de leur réglementation. Au fur et à mesure que l’utilisation des RPI croît, leur gouvernance gagne également en importance. Partout dans le monde, les États-nations s’efforcent de créer une législation capable de suivre le rythme de l’explosion des volumes d’information détenus par les entreprises des secteurs privés et publics.
Tout d’abord, le Règlement général sur la protection des données (RGPD), promulgué par l’Union européenne en mai 2018 et dont les premières sanctions importantes commencent à émerger. Un exemple avec British Airways se voyant infliger une amende de 183,4 millions de livres suite à une cyberattaque l’année dernière, comme l’a rapporté ZDNet.
L’application du RGPD a été suivi par la loi japonaise sur la protection des renseignements personnels (APPI), mais également par la loi californienne sur la protection de la vie privée des consommateurs ou encore la loi brésilienne sur la protection des données, connue sous le nom de LGPD. En effet, les leaders du numérique du monde entier devraient s’attendre à une disposition similaire. Le cabinet Forrester a publié une étude sur les lois sur la protection de la vie privée de 61 pays, dont plusieurs ont adopté des règlements stricts en 2018. Selon TechRepublic, d’autres le feront également cette année.
Cet ensemble de règlements montre à quel point les gouvernements du monde entier s’inquiètent de ce que les grandes entreprises font avec les données personnelles. Dans le même temps, cette législation vise également à sensibiliser davantage le public. Les consommateurs s’intéressent de plus en plus aux données que votre entreprise détient à leur sujet, à la façon dont vous utilisez cette information et à qui vous la transmettez.
Connaître le contexte du stockage et de l’utilisation des données
Les entreprises doivent donc prendre en compte l’historique et le cycle de vie des données.
Bien que la législation se soit d’abord concentrée sur le droit à l’oubli, l’accent sera probablement mis à l’avenir sur le droit de connaître l’utilisation de ces données.
Par exemple, le 1er janvier 2019, la Data Broker Act du Vermont est entrée en vigueur : elle exige que toutes les entreprises de « courtage en données » (« une entreprise, ou une unité ou des unités d’une entreprise, séparément ou ensemble, qui collectent et vendent sciemment ou accordent sous licence à des tiers les informations personnelles d’un consommateur avec lequel l’entreprise n’a pas de relation directe ») s’inscrivent auprès du Secrétaire d’État du Vermont.
Pour les entreprises, le défi de maintenir la sécurité et la gouvernance des données dans cet environnement réglementaire est important. Les données sont notamment structurées et conservées dans des silos sécurisés.
Vos données clients se présentent sous différentes formes, structurées et non structurées, et sont conservées à différents endroits : sur site, dans le cloud, à la périphérie (IoT/sensors).
Pour que vos clients aient confiance dans la façon dont leurs données sont utilisées, votre entreprise doit comprendre l’étendue de celles qu’elle collecte et stocke. Cette approche permet à une organisation de s’assurer qu’elle est pleinement consciente de la façon dont ses collaborateurs acquièrent et utilisent les données. Elle exige une gouvernance qui va au-delà de la sécurité et de la protection de la vie privée et s’étend à un troisième domaine critique : la gestion du risque. Malheureusement, les actifs de données d’une organisation peuvent rapidement devenir un passif !
Et il ne s’agit pas seulement de la façon dont les données sont conservées : l’entreprise doit se demander si conserver cette information représente un risque. Elle doit avoir une compréhension complète de l’origine des données, de leur utilisation et du niveau d’exposition possible à la perte, au vol ou à la mauvaise utilisation – de nouveaux postes de dépenses qui deviennent rapidement des composantes des analyses du retour sur investissement (ROI).
Placer les données au centre de votre stratégie d’entreprise
Votre approche du risque doit être beaucoup plus qu’une simple police d’assurance. Au lieu de penser à la façon dont vous pourriez être couvert dans le pire des cas, votre organisation doit adopter une approche proactive de sa stratégie en matière de données : concentrez-vous sur les risques financiers, sociaux et de réputation otentiels d’une fuite de données. Personne ne veut que la mauvaise gestion des données d’aujourd’hui fasse la une des journaux de demain.
La gestion des données doit être au cœur de la stratégie d’entreprise. Elle prendra ainsi conscience que ses données présentent un avantage concurrentiel et le traitement de celles-ci sera effectué dans une optique business dans le respect de la gestion des risques et dans le cadre d’une gouvernance bien définie.
Les entreprises qui ont fait le choix d’adopter une approche globale et envisagent de créer une plate-forme prête à l’emploi s’appuient de préférence sur l’expertise de partenaires de confiance. Ces entreprises utilisent le cloud pour exploiter les données et atteindre leurs objectifs stratégiques sans risque dans le respect des attentes des clients.
Ainsi, au lieu de considérer le RGPD et les législations relatives aux données comme une contrainte, les entreprises disposant d’une plate-forme professionnelle dédiée peuvent utiliser la gouvernance et la sécurité des données comme un avantage concurrentiel
__________
Cindy Maike est VP Industry Solutions de Cloudera