Les nouvelles réalités des données dans un monde numériquement moderne
Qui gère les données, qu'est-ce qui accède aux données et où les données sont-elles stockées ?
Avec les nouveaux environnements numériques, les données peuvent se trouver n'importe où
Aussi difficile à croire que ce soit, il fut un temps où les données étaient stockées localement, quand elles l'étaient ! Toutefois, maintenant que les données traversent de nombreux domaines (du stockage en cloud public aux datacenters sur site ou aux services tiers), comment les entreprises doivent-elles envisager la gestion de leurs données ?
L'informatique cloud, l'augmentation du télétravail et l'explosion de l'utilisation de l'IA ont mis à mal les mesures de conformité et de sécurité établies par les entreprises.
Dans ce contexte, voici trois éléments que les entreprises doivent connaître pour gérer leurs données, mais qui peuvent également les aider à préparer le terrain pour sécuriser les données et éviter les lourdes dépenses consacrées à la conformité ; le qui, le quoi et le où de l'accès aux données.
1. Savoir qui accède aux données
Les données des clients doivent être lues et traitées dans le cadre d'un processus manuel ou automatique (par une personne ou une machine) pour que l'entreprise puisse fournir ses services. Toutefois, afin de prévenir les violations et de préserver la conformité, les entreprises doivent s'appuyer sur des règles strictes concernant les personnes autorisées à consulter et accéder aux données. Par exemple, pour traiter les paiements, une organisation peut avoir besoin des numéros de carte de crédit des clients. Or, le nombre de systèmes internes ou d'utilisateurs ayant accès à ces numéros de carte de crédit doit être minime.
La difficulté tient au fait que les entreprises doivent sécuriser les données, tout en permettant aux utilisateurs autorisés d'y accéder. Et ils doivent le faire dans un environnement numérique qui évolue rapidement et où les utilisateurs internes peuvent accéder aux systèmes depuis n'importe où et sur presque n'importe quel appareil. Pour des besoins d'audit, ils doivent également assurer un suivi des personnes ou machines ayant accédé aux données et de la date d'accès.
Le contrôle des accès était plus simple lorsque le travail était décentralisé : les sous-traitants et les employés sur site étaient connectés à un réseau interne, souvent étroitement contrôlé. Toutefois, il est impossible d'essayer de faire évoluer les VPN pour les adapter à la nature mondiale et éloignée de l'entreprise moderne.
Les équipes chargées de l'informatique et de la sécurité ont besoin d'un moyen évolutif pour garantir que les bonnes personnes et elles seules peuvent traiter les données sensibles, même dans les environnements de travail hybrides.
2. Savoir ce qui accède aux données
Les grands modèles de langage (LLM) peuvent contribuer à accroître la productivité. Mais les RSSI du monde entier se réveillent probablement effrayés en imaginant les données des clients dans ChatGPT, ou les systèmes de fichiers internes dans LLaMa (et ces exemples sont loin d'être de simples hypothèses). La transmission de données confidentielles hors d'un environnement sécurisé est un cauchemar pour la sécurité.
Toutefois, le transfert de données vers une plateforme tierce non autorisée n'est pas le seul aspect à contrôler dans les systèmes et les plateformes qui traitent les données. Les appareils infectés par des logiciels malveillants, ou simplement insuffisamment sécurisés, peuvent engendrer des violations.
Le nombre d'outils SaaS (Software-as-a-Service, logiciel en tant que service) explose, d'après les estimations d'une certaine source les entreprises utiliseraient en moyenne entre 270 et 364 applications SaaS, et cela fait peser une menace supplémentaire sur les données. Les outils SaaS tiers peuvent aspirer, ou encore faire fuiter, des données confidentielles sans que les équipes informatiques et de sécurité ne s'en rendent compte.
Étant donné les lacunes en matière de visibilité, la prolifération des déploiements cloud et la « lassitude vis-à-vis des alertes » qui viennent du caractère hétéroclite de l'ensemble de systèmes, réseaux et solutions de sécurité, il devient plus difficile que jamais de vérifier ce qui touche aux données.
3. Savoir où accéder aux données
La quantité de données générées et stockées continue de croître de manière exponentielle. En réalité, selon IDC, la sphère des données à l'échelle mondiale a atteint 64 zettaoctets en 2020 et continue de croître. Les nouvelles sources de données telles que l'Internet Ides objets (IoT) génèrent continuellement des données supplémentaires, et les collections de big data sont essentielles pour entraîner l'apprentissage automatique et les modèles d'IA.
Ces données parcourent le monde entier et sont souvent stockées de manière décentralisée. De nombreuses entreprises stockent des données dans différents déploiements cloud et emplacements physiques. De plus, la conception souvent cloisonnée du stockage des données rend difficile toute visibilité sur la nature des données et l'endroit où elles se trouvent.
Par ailleurs, le fait que les effectifs et les clients sont aujourd'hui répartis dans le monde entier ajoute encore de la complexité. Un employé peut accéder aux données stockées à partir d'un réseau d'entreprise interne depuis le siège social d'une agence, ou depuis l'autre bout du monde. Et les données confidentielles peuvent avoir traversé un certain nombre de régions et de multiples réseaux non sécurisés avant d'atteindre l'infrastructure de stockage du backend d'une organisation, ce qui augmente les risques de violation. Il arrive que toutes ces régions soient également soumises à des réglementations distinctes et qui leur sont propres en matière de confidentialité des données.
À la lumière de tous ces informations, il est facile de comprendre pourquoi l'importance de l'endroit où se trouvent les données complique la conformité et la sécurité. Il est difficile de garantir la protection des données d'une manière conforme aux normes de sécurité dans tous les différents endroits où elles sont stockées, sans même parler du moment où elles sont en transit.
Une plateforme dans le cloud associée à des mesures de contrôle composables
Les équipes chargées de l'informatique et de la sécurité ont besoin d'être en mesure d'appliquer les politiques partout, sur l'ensemble de l'infrastructure et en amont de toutes leurs applications. Le cloud de connectivité est une plateforme de sécurité basée sur le cloud qui s'intègre aux ressources sur site, au cloud et à tout ce qui se trouve entre les deux.
Le cloud de connectivité de Cloudflare est une plateforme composable qui permet aux entreprises de simplifier le respect de la conformité à l'aide de mesures de contrôle de la sécurité extensibles sur l'ensemble des systèmes qui vous aident à vous connecter, à vous protéger et à développer des applications. Répondez aux exigences de conformité d'une vaste gamme de réglementations, cadres et normes, dont PCI DSS et HIPAA, pour n'en citer que quelques-uns, afin de réduire les risques.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Découvrez comment simplifier les tâches informatiques et de sécurité essentielles dans notre e-book intitulé Le cloud de connectivité : une approche pour reprendre le contrôle de l'informatique et de la sécurité.
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
L'incidence de la modernisation numérique sur les données
Les difficultés liées à la gestion des utilisateurs, des ressources et de l'emplacement des données
Comment les nouveaux modèles, tels que le cloud de connectivité, permettent aux entreprises de gagner en visibilité et de sécuriser leurs données.