Peu importe où est implantée son entreprise, il est nécessaire d’assurer la sécurité de ses données

Dans un contexte où les employés accèdent aux données sensibles de partout, les entreprises sont confrontées au défi de protéger leur propriété intellectuelle, les données clients de valeur et, au final, leur réputation et leurs résultats.

Les bénéfices de l'adoption du Cloud - dont une productivité accrue du personnel et des coûts opérationnels réduits - permettent aux entreprises de se mondialiser et de s'interconnecter davantage. Les organisations petites comme grandes déploient un nombre grandissant et impressionnant d'applications Cloud grâce auxquelles leurs employés peuvent accéder aux données sensibles de toutes les succursales implantées dans le monde. Toutefois, le fait de miser toujours plus sur les technologies Cloud a aussi érigé des inquiétudes sur la sécurité des données dans les entreprises. Selon une récente étude d'Unisys, 42% des répondants ont cité la sécurité comme l'élément soulevant le plus grand défi dans la gestion du Cloud, bien plus que tout autre enjeu. Dans un contexte où les employés accèdent aux données sensibles issues du monde entier et les partagent par le biais d'un ensemble de terminaux, les entreprises sont confrontées au défi de protéger leur propriété intellectuelle, les données clients de valeur et, au final, leur réputation et leurs résultats.

La conséquence : différents pays mettent en place leurs propres conditions de conformité. Par exemple, les règles de protection des données de l'Union européenne - règlementation GDPR - vont avoir une incidence majeure sur toutes les entreprises qui gèrent des données personnelles au sein de l'UE, qu'elles soient ou non basées en Europe. De mêmes, les entreprises doivent se mettre en conformité avec les lois locales sur la protection des données aux Etats-Unis, en Russie ou au Moyen-Orient, pour ne citer que quelques exemples. Dans une certaine mesure, ce peut être difficile pour les entreprises dotées de succursales dans le monde entier car elles vont devoir garantir une conformité avec les règlementations en vigueur dans chaque région où elles opèrent. La non conformité expose à de graves conséquences.

C'est pourquoi la plupart des entreprises vont devoir adopter des comportements complètement nouveaux dans leur mode de collecte et d'utilisation des données sensibles. Dans cette optique,  voici plusieurs actions que les entreprises peuvent implémenter pour s'assurer d'être conformes aux règlementations en vigueur, quels que soient leurs lieux d'implantation.

  • Comprendre le flux des données personnelles

    • Partout dans le monde, les entreprises vont devoir faire un examen minutieux de leurs mesures de sécurité et s'adapter aux lois locales. Elles vont devoir trouver le bon équilibre entre protection des informations clients et garantie aux utilisateurs des données de pouvoir continuer à opérer tel que nécessaire. Ce peut être un défi, en particulier quand on sait que jusque récemment, les entreprises collectaient souvent les informations sur les employés et les clients en se contentant d'une vague idée de la façon dont les données allaient être ultimement stockées et utilisées.

    Ainsi, la première étape vers la conformité implique que les entreprises sachent tout de l'endroit où résident leurs informations et où elles transitent. Les entreprises doivent établir des cartes décrivant le flux des données personnelles dans leur réseau. Il s'agit d'une condition essentielle dans la mesure où de nombreuses entreprises collectent les données utilisateurs et les traitent dans le Cloud dans une région différente de la région de collecte.

  • Mener des évaluations des risques régulières

    • Il existe de nombreux outils spécialisés dans la sécurité des réseaux, dont les scans de vulnérabilité, la détection et la prévention d'intrusion, les pare-feux, entre autres. Chaque entreprise a un avis et des approches propres en termes de sécurisation du réseau corporate. Peu importe l'outil qu'elles choisissent de mettre en place, il faut avoir conscience qu'aucun outil n'est infaillible. Un pare-feu va aider à maintenir les gens hors de votre réseau et les empêcher d'y accéder mais ne s'avère d'aucune aide une fois que quelqu'un a réussi à y pénétrer. Un outil d'intrusion aide à identifier si quelqu'un commet une intrusion, mais ne fait rien pour sécuriser le périmètre.

    Pour cette raison, il est impératif que les entreprises mènent régulièrement des évaluations des risques et les documentent. En utilisant les nouvelles technologies, les équipes IT peuvent facilement superviser le réseau, informer de violations d'accès, confirmer ou infirmer les problèmes d'accès preuves à l'appui, identifier les zones de difficultés et aider à les résoudre. Elles peuvent ensuite exploiter ces informations pour être sures de savoir  ce qui ce passe dans tout le réseau, assurer que personnes n'effectue d'action non autorisée et, dans le cas extrême d'une intrusion ou de tout autre infraction, déterminer ce qui s'est passé et identifier les facteurs adéquats pour y remédier.

  • Nommer un directeur de la protection des données

    • Le directeur de la protection des données, - ou Data Protection Officer (DPO) - est un expert du droit de la confidentialité des données à qui revient la responsabilité de conduire les évaluations de confidentialité des données et d'assurer que les règles appropriées sont en place.

    Les entreprises qui opèrent dans l'Union européenne vont devoir mener une de ces deux actions : soit nommer un DPO et le doter de tous les outils dont il a besoin, soit produire une carte des données personnelles qui explique pourquoi leur entreprise peut bénéficier d'une dérogation. Même si tous les pays ne confirment pas le besoin d'un DPO, une personne à disposition et responsable de la gestion efficace des informations peut aider les entreprises à assurer leur conformité aux lois et règlementations dans le monde relatives à l'information.

  • Mettre en place de solides protections de la confidentialité

    • Les entreprises ont intérêt à prévoir des protections de la confidentialité embarquées dans leurs opérations. Ceci implique de porter une attention particulière à chaque détail dans ce qui se passe dans le Cloud et de comprendre comment les différentes applications interagissent. En construisant une vue holistique, en temps réel et de bout-en-bout de la performance des applications Cloud comme locales dans tout le réseau, les équipes informatiques peuvent définir une ligne claire de la façon dont les applications performent. En utilisant des outils de supervision des applications, le service informatique peut alors identifier la cause des problèmes de performance, les résoudre immédiatement et améliorer de façon proactive la performance. Cette visibilité optimisée de la performance applicative garantit la conformité avec les règles de sécurité des données et amène à une productivité et un revenu accrus pour l'entreprise, tout comme à une amélioration du service client, de la qualité des produits et de l'implication des employés.

    Alors qu'un nombre croissant d'entreprises passe au Cloud pour les opérations quotidiennes, la visibilité au niveau des Clouds publics, privés et hybrides devient critique. Une recrudescence spectaculaire de la complexité du réseau et de nouvelles architectures applicatives hautement distribuées exige que l'informatique appréhende le réseau et l'infrastructure de performance applicative de façon radicalement nouvelle.

    Actuellement, de nombreuses entreprises se mondialisent par le biais du Cloud et c'est pourquoi obtenir  une visibilité, une optimisation et un contrôle plus vastes des applications et du réseau est un impératif. Heureusement, les entreprises et les décideurs sur qui elles reposent disposent du temps et des outils nécessaires pour capitaliser sur le Cloud sans que les règlementations ne les refrènent.