Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Enquête sur la conservation des données et l’eDiscovery 2012 de Symantec

janvier 2013 par Symantec

Symantec annonce les résultats de son enquête « Information Retention and eDiscovery » (Conservation des données et eDiscovery) de 2012. L’objectif de cette enquête : savoir comment les entreprises gèrent leurs volumes croissants d’informations électroniques et se préparent à l’éventualité d’une demande de mise à disposition de preuves électroniques dans le cadre d’affaires juridiques, plus généralement appelée « e-discovery ». Entre cette enquête et celle de 2011, le pourcentage des entreprises n’ayant pas de plan formel de conservation des informations a chuté de moitié. Cependant, seulement un tiers des entreprises qui en sont pourvues le disent pleinement opérationnel, ce qui signifie qu’elles peinent à le mettre en œuvre.

Les plans qui ne sont pas appliqués font courir des risques aux entreprises

Près des deux tiers (60 %) des entreprises disent avoir un plan formel de conservation des informations, mais seulement 34 % le disent pleinement opérationnel. Selon les résultats de l’enquête, le coût perçu de la mise en œuvre de leur plan est la principale raison de leur retard. Il ressort également de l’enquête que seulement 7 % des entreprises n’ont pas de plan en place, contre 14 % en 2011, soit une baisse de 50 %.

Autre constat encore plus préoccupant : sur les recherches effectuées en réponse aux 17 demandes de mise à disposition d’informations électroniques que les entreprises ont reçues en moyenne, 31 % ont été infructueuses. Ce taux d’échecs est nettement supérieur à celui de 2011, qui était de 20 %. À chaque échec, les entreprises courent des risques. La principale conséquence de ces échecs pour 43 % des entreprises est qu’ils les empêchent de prendre des décisions en temps opportun. D’autres conséquences ont été mentionnées, notamment l’atteinte à la réputation de l’entreprise et à sa situation juridique, les amendes, le fait que l’entreprise est perçue comme étant la cible de contentieux, ainsi que les sanctions judiciaires.

« Selon les résultats de l’enquête, le nombre d’entreprises dépourvues d’un plan de conservation des informations a chuté, mais des entreprises n’ont pas entièrement financé et mis en œuvre leur plan », souligne Trevor Daughney, directeur, Information Intelligence Group, Symantec. « Dans le contexte de l’augmentation du nombre de demandes de mise à disposition d’informations électroniques et de recherches infructueuses en réponse à ces demandes, les entreprises s’exposent à des risques susceptibles de leur coûter beaucoup plus cher que la mise en œuvre de leur plan », ajoute-t-il.

L’écart entre la théorie et la pratique subsiste en ce qui concerne la conservation des informations

Un écart important subsiste entre la théorie et la pratique en ce qui concerne la conservation des informations. Cet écart n’a pas évolué de manière significative d’une année sur l’autre. 81 % des personnes interrogées pensent qu’un plan de conservation des informations approprié permet de supprimer régulièrement des informations. Toutefois, 42 % des sauvegardes sont conservées indéfiniment par les entreprises. Ce constat est pratiquement le même qu’en 2011. En outre, les informations supprimées par les entreprises le sont souvent sans tenir compte de la politique de conservation en place.

Selon les résultats de l’enquête, les conséquences négatives de la conservation d’une plus grande quantité d’informations électroniques que nécessaire sont principalement les suivantes : augmentation des coûts liés à la collecte, l’analyse et l’examen d’informations (54 %), augmentation du temps consacré à la collecte, l’analyse et l’examen des informations électroniques (47 %), augmentation du risque de divulgation d’informations sensibles (44 %), situation juridique compromise dans le cadre de litiges potentiels ou en cours (27 %) et mise à disposition involontaire d’informations pour des litiges potentiels futurs (28 %).

Il ressort également de l’enquête que les entreprises conservent des informations plus longtemps que nécessaire et répondent aux obligations légales de conservation de données en conservant ces données dans des sauvegardes plutôt que dans des archives, ce qui réduit l’efficacité des recherches en réponse aux demandes d’informations électroniques. L’enquête révèle que 38 % des données sauvegardées par les entreprises ne sont pas nécessaires ou ne devraient pas être conservées dans des sauvegardes. En fait, les personnes interrogées estiment qu’un tiers des données sauvegardées (34 %) ne devraient pas être conservées et sont inutiles en raison du risque de litiges.

Plus de la moitié des entreprises conservent ces données indéfiniment : 56 % ont déclaré utiliser leur capacité de stockage des sauvegardes pour conserver des données indéfiniment dans le cadre d’obligations légales. Ce chiffre a augmenté par rapport à celui de 2011 (43 %) et le problème continue de s’aggraver. En outre, 85 % des entreprises traitent systématiquement les demandes légales de conservation de données en conservant ces données dans des sauvegardes qui ne sont pas conçues pour être accessibles de la même manière qu’une archive.

Les lois et réglementations relatives à la protection des informations personnelles ont un impact sur la majorité des entreprises

Les lois et réglementations relatives à la protection des informations personnelles ont un impact important sur les entreprises : 53 % ont déclaré que des lois et/ou réglementations ont un impact sur les initiatives liées à l’archivage et l’e-discovery. Toutefois, les personnes interrogées ont déclaré collecter des informations électroniques pour de nombreuses raisons : litiges (60 %), enquêtes internes (59 %), initiatives de mise en conformité internes (58 %), respect des réglementations et lois internationales (57 %), respect des réglementations et lois locales (55 %), demandes ou enquêtes gouvernementales (52 %) et demandes d’informations du public (46 %).

Recommandations

Recommandations pour la mise en œuvre plus efficace d’un plan de conservation des informations :

· Adopter une approche justifiable de la suppression des informations : l’adoption d’une approche justifiable de la suppression des informations permet de supprimer des informations en toute confiance, conformément aux règles de conservation définies.

· Opter pour une approche minimaliste en ce qui concerne le nombre de règles de conservation : cette approche augmente les chances de réussite d’un plan de gouvernance des informations. Commencer par supprimer les fichiers inutiles, puis définir des périodes de conservation minimales pour la conformité. D’autres règles peuvent être ajoutées ultérieurement, selon les besoins.

· Automatiser les règles de protection des informations personnelles, de conservation et de conformité pour réduire les risques : l’automatisation des règles définies réduit non seulement le risque d’incohérences dans l’application de ces règles, mais également le risque d’accès involontaire à des informations ou de distribution involontaire d’informations.

· Mettre en œuvre une solution permettant le remplacement des règles d’expiration lors du traitement des demandes légales de conservation de données : envisager la mise en œuvre d’une solution d’e-discovery permettant de configurer facilement le processus de traitement des demandes légales de conservation de données pour qu’il remplace les règles d’expiration afin d’éviter la spoliation et les sanctions.

· Ne pas utiliser les sauvegardes pour la conservation à long terme : utiliser la sauvegarde pour la restauration et l’archivage pour l’e-discovery. Déployer une solution d’archivage pour répondre rapidement et facilement aux demandes d’informations électroniques.




Voir les articles précédents

    

Voir les articles suivants