En 2017, plus de 60 000 documents, dont certains contenaient des informations sensibles sur le programme américain de cartographie satellite ont été laissé en libre accès sur un serveur web pendant plusieurs mois. Les documents contenaient notamment plusieurs mots de passe, et des informations confidentielles.
La plupart des études s’accordent à dire qu’entre 88% et 90% des fuites ne sont pas intentionnelles. Malgré tout, les effractions de données volontaires ne sont pas rares. Aux USA, une identité est volée toutes les 4 secondes. Plus de 10 millions de personnes sont victimes de vol d’identités numériques chaque année.
A la différence des données structurées qui se situent dans un environnement maîtrisé par l’entreprise (stockées dans des bases de données), les données non-structurées (documents bureautiques et messagerie) sont beaucoup moins maîtrisables car leur cycle de vie est complexe avec des conditions de partages hétérogènes.
La protection des données non structurées est donc un enjeu majeur et stratégique pour l’entreprise.
La digitalisation des services affiche plein de promesses en termes de souplesse, accessibilité et collaboration. Pour accéder à ces promesses, il convient de respecter la règle des 4 Any :
- Any User : des collaborateurs aux clients jusqu’aux partenaires ;
- Any Device : d’une flotte de terminaux maitrisés au BYOD ;
- Any Where : d’une localisation interne de l’information à l’externalisation dans le cloud ;
- Any Time : d’un accès permanent à un accès à l’usage contextualisé (abonnement) ;
La digitalisation des services s’accompagne aussi de nouvelles contraintes comme la quantité accrue de données produites et donc à protéger, l’augmentation des doublons et de la capacité à localiser les données et enfin l’augmentation du nombre d’individus ou terminaux à gérer.
Pour renforcer la sécurité des données, il existe de nombreuses solutions complémentaires :
- de restriction des accès aux données sensibles au seul besoin d’en connaitre (DAG – Data Access Governance) et de gestion des droits d’accès aux données (DRM)
- de suivi de l’activité des utilisateurs sur les données (création, lecture, modification, suppression) à des fins d’analyse, d’alerting et de contrôle
- d’accompagnement des utilisateurs dans la déclinaison opérationnelle de la politique de classification et de sensibilisation avec des notification ciblée (DLP)
- d’analyse de la corrélation de signaux faibles (SIEM), de détection (DLP) et d’analyse du comportement des utilisateurs sur une plage de temps plus ou moins longue (analyse de log / big data)
- de blocage, de chiffrement des données, de coupure de certains canaux liés à la fuite d’information
- de détection des données et des usages en contexte Shadow IT avec des solutions CASB (Cloud Acess Security Broker).
Avant de choisir quelle(s) solution(s) mettre en œuvre, il est nécessaire d’évaluer l’efficacité des différents scénarios technologiques (combinaison de typologies) dans le contexte de son entreprise. Il faut évaluer la maturité du dispositif existant (organisationnel / fonctionnel et technique) et potentiellement évaluer la maturité de son entreprise vis-à-vis de la maturité des autres entreprises, représentatives de son secteur d’activité et/ou vis-à-vis de la problématique. Une fois ce premier état des lieux établi, l’entreprise pourra définir, de façon éclairée, sa trajectoire ainsi que les différents chantiers à mener.
