Suppression des données dans un monde où leur stockage ne connaît pas de limites

Cropped Favicon Economi Matin.jpg
Par Guillaume Garbey Modifié le 29 octobre 2018 à 8h10
Impact Rgpd Sauvegarde Donnees
@shutter - © Economie Matin
41%41% des entreprises laissent au moins 1 000 fichiers sensibles en accès libre à tous leurs collaborateurs.

Le stockage des données est devenu tellement simple et abordable que les entreprises les accumulent sans se fixer de limites. La possibilité d’étendre la capacité de stockage du datacenter ou, pratique de plus en plus courante, d’héberger les données à peu de frais dans le Cloud entraîne une croissance de celles-ci à un rythme que les entreprises sont généralement incapables de gérer. C'est ce que l'on appelle la « thésaurisation numérique ».

La plupart des entreprises mettent en place des stratégies de rétention et d’élimination déterminant quand et comment supprimer les données, mais peu les appliquent, ce qui fait que le volume de données ne cesse d’augmenter. Or, les données présentent un risque. Toute information sensible ou de valeur stockée peut en effet être perdue ou volée, et utilisée à mauvais escient si elle tombe entre de mauvaises mains.

Voici les 5 types de risques qu’un trop grand volume de données peut faire courir aux entreprises :

Non-conformité au Règlement Général sur la Protection des Données / RGPD : le règlement européen sur la protection des données (RGPD) permet au consommateur d’exercer son « droit à l’oubli » et celui-ci peut demander aux entreprises de supprimer les informations le concernant. Plus l’entreprise conserve de données, plus elle aura de difficultés à satisfaire ce type de demandes et plus elle est susceptible d’oublier un document Word ou un e-mail contenant des données privées, telles que des informations d’identification personnelle. Une simple omission et l’entreprise se retrouve en infraction avec un certain nombre de réglementations (RGPD, HIPAA, SOX, PCI-DSS, etc).

Rançongiciels : les rançongiciels peuvent avoir des effets dévastateurs, car ils chiffrent rapidement tous les fichiers électroniques qu’ils trouvent. Ce fut le cas en 2017 avec WannaCry, logiciel malveillant qui a mis à genoux plusieurs entreprises et des organismes publics. Si les entreprises laissent une multitude de fichiers en libre accès sur leur réseau, cela signifie des milliers, voire des millions, de fichiers à risque. Pour peu que l’un des collaborateurs clique sur un e-mail de phishing bien conçu et que les mesures de sécurité ne parviennent pas à intercepter rapidement l’attaque, l’entreprise risque de perdre l’équivalent de plusieurs années de données.

Attaques externes : lorsque des pirates extérieurs s’infiltrent dans un réseau, leur objectif est simple : rester cachés, acquérir un niveau de privilèges supérieur et partir à la chasse aux informations. Plus l’entreprise conserve de données, plus elle a d’informations à protéger et plus le risque de piratage est grand. Quand des hackers nord-coréens se sont attaqués à Sony Pictures en 2014, certains des fichiers piratés contenant des informations embarrassantes étaient vieux de 13 ans. Entre de mauvaises mains, les fichiers ont autant de valeur que l’argent. Supprimer les informations qui ne présentent plus aucune valeur pour l’entreprise permet de réduire les risques.

Violation de données : les modèles de stockage hybride qui combinent stockage dans le Cloud et sur site sont devenus la norme pour les entreprises. Conserver les données à la fois sur site et dans le Cloud peut compliquer la protection des informations sensibles conformément au principe du « besoin d’en connaître ». S’il constitue un moyen simple de stocker les données, le Cloud n’offre pas toujours des contrôles de sécurité à la hauteur de ceux auxquels les entreprises sont habituées pour leurs fichiers de données sur site. Une fois les données exposées dans le Cloud, elles sont potentiellement accessibles au monde entier et pas seulement aux collaborateurs.

Menaces internes : stocker un grand volume de fichiers non sécurisés sur un réseau revient à inviter des employés mécontents à l’explorer, et à transférer des documents vers un Cloud personnel ou une clé USB. Les employés ont tendance à copier les fichiers et à les enregistrer à un autre endroit où ils seront accessibles à tous, ce qui conduit à une multiplication des données non structurées, notamment des documents Microsoft Office. Des fichiers anciens soi-disant sans importance présentent parfois un intérêt pour un employé interne malintentionné à la recherche d’informations dont il pourrait tirer un profit personnel, politique ou financier.

Conseils de mise en application d’une stratégie de suppression des données

Les entreprises disposent généralement de stratégies d’archivage ou de suppression des données inutiles, mais leur application peut constituer un véritable défi.

Voici 6 conseils pour mettre en application une stratégie de suppression des données :

1. Évaluer les risques. De nombreuses entreprises ignorent l’ampleur des risques que leurs données leur font courir. Dresser l’inventaire des données permet de déterminer lesquelles sont sensibles, lesquelles sont trop exposées et qui y a accès. Ces informations constituent une excellente base pour une stratégie d’atténuation des risques.

2. Mieux connaître les données de l’entreprise. Les entreprises ne savent plus où résident leurs données ni d’ailleurs quelles données elles possèdent réellement. L’entreprise doit cartographier les fichiers de données, surveiller les informations qui sont utilisées et archiver celles dont elle n’a plus besoin. En cas d’atteinte à la sécurité, les pirates s’attaqueront à ce contenu et l’entreprise devra rendre des comptes aux autorités de réglementation.

3. Se concentrer sur les données sensibles. Certaines des données contiennent des informations d’identification personnelle et des informations stratégiques sensibles. D’autres informations, en revanche, ont peu de valeur. Mieux vaut se concentrer sur les « joyaux de la couronne », c’est-à-dire les informations soumises à des réglementations, ainsi que sur les données propriétaires susceptibles de faire courir des risques à l’entreprise et supprimer ou archiver les données qui ne présentent plus aucune valeur.

4. Sécuriser le stockage de données hybride. Les entreprises qui adoptent le Cloud ne cesseront pas pour autant de stocker des informations sur des serveurs physiques. Quel que soit l’endroit où les informations sont stockées, l’entreprise doit s’assurer qu’elles sont toutes couvertes par les contrôles et stratégies de sécurité. Il est important de comprendre les caractéristiques et limites de ces deux types d’environnements.

5. S’appuyer sur l’intelligence artificielle et l’automatisation. Les entreprises qui automatisent les stratégies de rétention et d’élimination des fichiers, avec archivage et suppression automatiques des données dont elles n’ont plus besoin, sont mieux protégées contre les menaces internes et les cyberattaques. Savoir en permanence quelles données sont sensibles, où elles résident, lesquelles sont utilisées et lesquelles ne le sont pas permet de supprimer automatiquement les éléments dont l’entreprise n’a plus besoin.

6. Appliquer le principe du moindre privilège. En appliquant le principe du moindre privilège aux données que l’entreprise conserve, celle-ci a l’assurance que les employés ont uniquement accès aux fichiers dont ils ont besoin pour accomplir leur mission. Un récent rapport révèle que 41 % des entreprises laissent au moins 1 000 fichiers sensibles en accès libre à tous leurs collaborateurs. Il peut s’agir d’informations personnelles sur les employés, de renseignements sur les comptes clients, de mails de cadres supérieurs, etc. Les données exposées sont les plus susceptibles d’être piratées par un rançongiciel, d’être volées par un attaquant externe ou d’être utilisées à mauvais escient par des employés internes.

Les données inutilisées ne reçoivent pas toujours l’attention qu’elles méritent de la part du département informatique et des équipes chargées de la cybersécurité. De nombreuses entreprises ignorent par où commencer et quelles données supprimer, car il n’est pas toujours facile d’identifier les informations importantes et encore en usage. Connaître l’étendue des données dont on dispose, leur emplacement et la façon dont elles sont utilisées permet à l’entreprise de considérablement renforcer sa stratégie de sécurité et à se débarrasser des informations dont elle n’a plus besoin.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Cropped Favicon Economi Matin.jpg

Guillaume Garbey, directeur des opérations de Varonis, le sabotage de Tesla par l’un de ses collaborateurs doit éveiller les consciences sur la possibilité d’une menace interne.

Aucun commentaire à «Suppression des données dans un monde où leur stockage ne connaît pas de limites»

Laisser un commentaire

* Champs requis