Apprendre à gérer les risques sur les données dans les écosystèmes informatiques tentaculaires

Alors que les entreprises s'appuient sur des réseaux informatiques complexes et des fournisseurs tiers, les vulnérabilités cachées compliquent la résilience des données et la continuité d'activité.

Comment résoudre ce problème et par où faut-il commencer ? Si la réponse peut être difficile à entendre, elle reste très simple : il faut tout reprendre depuis le début. Compte tenu de l’ampleur des parcs de données et des réseaux tiers, une approche fragmentée ne fera qu’aggraver la situation. Au lieu de réagir aux menaces et aux changements en matière de conformité, les entreprises doivent d’abord adopter une approche holistique de la résilience des données. Dans le cas contraire, les lacunes ne feront que se multiplier.

Les difficultés liées à la croissance des données

Pour les entreprises qui cherchent à gérer efficacement leurs données, la priorité consiste à obtenir une vue précise de l’ensemble de leur environnement. Les données dans leur ensemble connaissent une croissance exponentielle. Par ailleurs, avec l’arrivée de l’IA, cette tendance va gagner en intensité, puisque le marché de la gestion des données d’entreprise devrait doubler au cours des prochaines années pour passer de 111 milliards de dollars en 2025 à 243 milliards en 2032. Siles entreprises n’agissent pas maintenant, elles risquent de ne jamais pouvoir rattraper leur retard.

Pour la plupart d’entre elles, l’introduction de l’IA aura nécessité un peu plus que quelques changements ponctuels dans leur approche des données, leur mode de stockage et les outils utilisés. En outre, la rapidité avec laquelle beaucoup d’entreprises ont adopté cette technologie a permis d’impulser de nombreux changements, sans passer par des processus rigoureux. Cela a eu pour effet de créer involontairement des silos, puisque chaque service utilise l’IA d’une manière différente, laissant ainsi d’importantes quantités de données en dehors de la juridiction organisationnelle traditionnelle. Les entreprises peuvent penser qu’elles disposent d’une vue d’ensemble complète, mais en réalité, il n’en est rien.

Sortir des sentiers battus

Malheureusement, la prolifération des données d’entreprise ne se limite en aucun cas à la technologie détenue et gérée par une organisation. La réflexion sur les parcs de données doit également inclure des solutions tierces. Selon une étude menée par la Cyber Risk Alliance, une entreprise moyenne fait appel à près de 88 prestataires informatiques tiers, dont elle dépend souvent entièrement pour ses solutions. Or, ces dernières sont souvent des boîtes noires qui offrent peu, voire pas du tout de transparence sur les données qu’elles hébergent, mais également sur les méthodes de résilience des données utilisées pour les sécuriser.

Les fournisseurs tiers sont souvent recrutés dans ce but précis, afin de soulager les entreprises d’une partie de la pression qu’elles subissent en déployant leurs solutions. Toutefois, cela les conduit souvent à se concentrer essentiellement sur le résultat de la solution plutôt que sur l’infrastructure qui la fournit. Les entreprises partent du principe que tout ce dont elles ont besoin est pris en charge par des fournisseurs ; cependant, sans la mise en place d’un modèle de responsabilité partagée bien défini, elles pourraient bien créer sans le savoir des lacunes importantes dans la résilience de leurs données.

Grâce à des réglementations telles que les directives européennes NIS2 et DORA, qui mettent spécifiquement l’accent sur la gestion des risques liés aux données détenues ou gérées par des tiers, les entreprises doivent se pencher davantage sur la manière dont leurs fournisseurs fournissent leurs solutions.

Une réglementation insuffisante ?

Malgré la mise en place de réglementations partout dans le monde pour tenter de renforcer la résilience des données, bon nombre d’entreprises sont encore à la traîne et estiment qu’elles sont plus résilientes que leurs capacités réelles ; cet écart de connaissances est largement dû à un manque de sensibilisation à la portée des parcs de données et des fournisseurs tiers.

Si la plupart des organisations ont suivi ces réglementations à la lettre, les tiers et les recoins cachés des parcs de données sont souvent laissés de côté, créant d’importantes lacunes en matière de résilience des données. Pour autant, cela ne signifie pas que les réglementations ne vont pas assez loin, mais plutôt que les entreprises n’ont tout simplement pas encore examiné leurs parcs de données ou leurs fournisseurs tiers de manière aussi détaillée auparavant.

S'attaquer au problème à la racine

Plutôt que d’attendre qu’un acteur malveillant exploite l’une de ces failles, angles morts ou portes dérobées, les entreprises doivent impérativement les identifier et les combler aussi rapidement que possible. Si la tâche est loin d’être aisée, il est essentiel que les entreprises puissent remédier efficacement à leurs lacunes en matière de résilience des données, avec des évaluations critiques portant non seulement sur les mesures internes de résilience des données, mais aussi sur celles des fournisseurs afin de mettre en évidence les vulnérabilités et les dépendances. Les maillons faibles dans la chaîne d’approvisionnement des tiers, les silos de données cachés et tout autre type de faille doivent être identifiés et corrigés avant qu’un acteur malveillant ne puisse en tirer parti.

Il ne faut pas s’y tromper : il s’agit d’une tâche vaste et complexe qui ne peut être accomplie seule. Afin d’évaluer et d’améliorer la résilience des données à cette échelle, il est nécessaire de collaborer non seulement au sein de l’entreprise, mais également avec des fournisseurs tiers. Comme pour tout projet de cette ampleur et de ce niveau de complexité, disposer du cadre approprié fait toute la différence. Par exemple, un modèle de maturité de résilience des données, sous la forme d’un framework à destination des entreprises, peut leur permettre d’évaluer objectivement leur posture de résilience, et prendre des mesures décisives et stratégiques face à la multiplication des cyberattaques et des pannes, indépendamment des fournisseurs. En suivant une approche transverse définie par ce genre de modèles, les entreprises peuvent élaborer un plan visant à améliorer la résilience des données, en réunissant les équipes informatiques, de sécurité et de conformité afin de s’assurer que tous les domaines de leur parc de données et de leur réseau tiers sont couverts.

Une fois ces nouvelles mesures mises en place, il est essentiel que les organisations continuent à effectuer des tests. Améliorer la résilience des données d’une entreprise n’est pas une tâche ponctuelle, mais un cycle continu d’apprentissage et d’adaptation à mesure que les menaces évoluent. Si la mise en place de tests réguliers et complets peut être perçue comme un processus fastidieux à mettre en place, ce n’est rien à côté de l’impact d’une attaque réelle.