Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les Dark Data mettent-elles votre entreprise en danger ?

juin 2018 par Christophe Badot, Directeur Général France de Varonis

Les entreprises accumulent toujours plus de contenus numériques. Des millions d’e-mails, de documents, de feuilles de calcul, de présentations et autres informations sont ainsi stockés sur des serveurs et des partages de fichiers, ou hébergés dans le Cloud. La plupart des données accumulées subsistent longtemps après qu’elles ont perdu toute valeur pour l’entreprise.

Ces informations sont celles que Gartner qualifie de « Dark data » et que les entreprises collectent, traitent et stockent dans le cadre normal de leurs activités sans généralement parvenir à les exploiter à d’autres fins. Conserver des Dark Data ayant dépassé leur durée de vie et perdu leur utilité pour l’entreprise est une pratique au mieux imprudente, au pire dangereuse.

Certes, le stockage dans le Cloud est relativement peu coûteux et certaines entreprises sont tenues de conserver une partie de leurs Dark Data pour respecter les réglementations commerciales ainsi que les exigences légales. Mais le stockage et la protection d’un volume excessif de Dark Data engendrent des dépenses et des risques inutiles.

Quelle est l’ampleur des Dark Data ? Selon une récente enquête, 54 % des informations d’entreprise, en moyenne, sont obsolètes, ce qui augmente les coûts de stockage, gaspille les ressources, complique la gestion des données et présente des risques pour la sécurité.

Les Dark Data exposent l’entreprise à trois risques principaux :

- Dangers pour la sécurité. Plus l’entreprise conserve de Dark Data, plus le volume d’informations à protéger est élevé, ce qui entraîne un risque accru en cas d’atteinte à la sécurité. Les anciens fichiers qui paraissent sans importance peuvent présenter un grand intérêt pour un employé interne malintentionné ou un pirate externe à la recherche d’informations dont il pourrait tirer un profit personnel, politique ou financier.

Contrairement aux rançongiciels, qui signalent leur présence, les attaquants à l’affût de contenu sensible font tout pour passer inaperçus. Accumuler des Dark Data, peu sécurisées, ouvre aux pirates une fenêtre d’opportunités et cela fait courir des risques inconsidérés à l’entreprise.

- Problèmes de conformité. Si les Dark Data renferment un document Word, par exemple, qui contient les informations d’identification personnelle d’employés, ou bien un fichier Excel regroupant les informations de paiement des clients, l’entreprise peut également être en infraction avec la réglementation, notamment avec le RGPD, les lois HIPAA et SOX, la norme PCI-DSS, etc. Malheureusement, de nombreuses entreprises ignorent même que de telles données résident sur leur réseau et ne les protègent pas. En cas d’atteinte à la sécurité, les pirates s’attaqueront à ce contenu et l’entreprise devra rendre des comptes aux autorités de réglementation.

Au cas où la question se poserait encore, oui le RGPD affecte les entreprises situées en dehors de l’Union européenne. Le règlement ratisse largement : les établissements de santé qui traitent des citoyens européens, les municipalités locales qui dressent des contraventions aux touristes européens et les sociétés comptant des employés européens parmi leurs effectifs, pour ne citer que quelques exemples, sont assujettis au règlement. Le stockage de données inutiles à l’entreprise ou l’incapacité à verrouiller l’accès aux données nécessaires est la porte ouverte aux atteintes à la sécurité, aux fuites et aux amendes.

- Risques liés au stockage hybride et dans le Cloud. La plupart des entreprises stockent leurs données à la fois sur site et dans le Cloud, ce qui complique la protection des informations sensibles selon le principe du « besoin d’en connaître ». S’il constitue un moyen simple de stocker les données, le Cloud n’offre généralement pas les contrôles de sécurité auxquels les entreprises se sont habituées pour leurs données sur site.

Dans le même temps, il est important de ne pas oublier ses données sur site. Nombre d’entreprises qui adoptent une approche « Cloud-first » continueront à stocker des informations sur des serveurs physiques. Les contrôles et mesures de sécurité protègent généralement les données hébergées dans le Cloud ou sur site, mais pas les deux. Il est important de comprendre les caractéristiques et limites de ces deux types d’environnements, de mettre en place un système de sécurité efficace et de surveiller ces environnements pour prévenir les menaces.

Même si les Dark Data font courir de sérieux risques à l’entreprise, il est possible de prendre le dessus. Pour cela il faut commencer par appliquer ces quelques conseils :

- Supprimer ou archiver les données qui ne présentent plus aucune valeur.
- Mettre en place un système de surveillance et d’alerte pour détecter les signes d’accès non autorisés aux informations que l’entreprise doit conserver.
- Établir des priorités et limiter les accès inutiles aux données.
- Identifier les fichiers contenant des données réglementées non conformes aux règles, puis les archiver ou les supprimer.
- Ce n’est pas parce que ses données sont hébergées dans le Cloud qu’il est sans risque de les oublier. Il est très important de ne jamais tenir pour acquis que ses données sont en sécurité dans le Cloud.
- Appliquer et tenir à jour une stratégie de sécurité solide pour gérer le contrôle des accès et la protection des données.
- Aider son entreprise à adopter les principes de respect de la vie privée dès la conception.

Les entreprises ont tendance à tout conserver. Les solutions de stockage des données sur site et dans le Cloud, relativement peu coûteuses, enterrent les entreprises sous une masse excessive de données et leur font courir des risques inconsidérés. Découvrez où se cachent les Dark Data et reprenez le contrôle.




Voir les articles précédents

    

Voir les articles suivants