MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Le dernier rapport Blancco met en évidence la difficulté croissante qu’ont les entreprises françaises de santé et de services financiers à relever les nouveaux défis liés à la protection des données dans le cloud.
Sur la base d’une enquête mondiale réalisée auprès de 1800 répondants, dont 300 en France, l’étude, Données Stockées à distance, a constaté une forte adoption du cloud, grâce à la facilité de gérer les volumes de données. Toutefois, 71% des répondants français déclarent que ce changement a pour conséquence l’augmentation du volume de données redondantes, obsolètes ou triviales (ROT) qu’ils collectent. Il s’agit du chiffre le plus élevé de tous les pays étudiés.
Les volumes croissants de données stockées posent de nombreux problèmes et préoccupent de plus en plus les entreprises opérant sur des marchés fortement réglementés. Outre les risques de non-conformité réglementaire, le stockage de ces données implique des impacts en matière de coût et de durabilité, ainsi que des problèmes de sécurité, plus il y a de données, plus la surface d’attaque est importante et plus la responsabilité est grande en cas de violation.
Les meilleures pratiques en matière de gestion des données indiquent que les entreprises doivent savoir quelles données elles ont collectées, y compris leurs valeurs, l’endroit où elles sont stockées, et quand elles doivent être supprimées de manière définitive. Toutefois, seule la moitié des entreprises (50%) en France peuvent se vanter de disposer d’un modèle de classification des données mature qui détermine quand les données ont atteint leur fin de vie, ce qui signifie que la moitié des entreprises ne savent pas quand il convient d’éliminer les données stockées sur le cloud.
Interrogés sur leurs approches en matière de cloud, 65% des répondants en France déclarent que leur fournisseur de cloud traite les données en fin de vie pour eux. Il s’agit du chiffre le plus élevé de tous les pays étudiés. Toutefois, près d’un tiers (30%) ne font pas confiance à leur fournisseur de cloud pour gérer convenablement les données en fin de vie pour leur compte.
« Les prestataires de services de santé et financiers en France traitent certaines des informations les plus confidentielles et les plus sensibles qui soient. Ils sont passés au cloud pour obtenir une meilleure connectivité, faciliter la transformation numérique et la gestion des données, mais bon nombre d’entre eux ne savent toujours pas comment réduire le risque et maintenir la conformité lorsque ces données ne servent plus à une fonction commerciale », a déclaré Yves Gheeraert, Directeur Benelux, France & Europe méridionale chez Blancco.
« La Covid a modifié les normes de travail dans tous les secteurs, et l’adoption du cloud a permis de s’adapter à ces changements. Mais les hackers ont également modifié leur approche. Les acteurs du secteur ont indiqué que 45% des violations qui se sont produites en 2022 étaient basées sur le cloud. Notre étude a toutefois montré de multiples cas de pratiques insuffisantes en matière de gestion des données en fin de vie dans le cloud. »
Points clés de l’étude Blancco portant sur 300 répondants de services de santé et financiers en France :
68% des entreprises pensent qu’elles peuvent mieux gérer les données en fin de vie dans leurs locaux plutôt que sur le cloud
62% utilisent un système de suppression basé sur un logiciel avec une preuve d’audit pour gérer l’ensemble des données, à la fois sur site et sur le cloud, mais un pourcentage préoccupant de 33% effectue la suppression sans preuve d’audit
88% des personnes interrogées reconnaissent la classification des données comme une première étape importante pour atteindre la sécurité des données
38% commencent tout juste à mettre en œuvre une politique pour la classification et la minimisation des données, et plus d’une personne sur dix (11%) doit encore mettre en application un tel processus.
Une évaluation régulière des données et l’établissement de durées de conservation représentent une préoccupation essentielle et croissante alors que les exigences réglementaires augmentent pour les secteurs de la santé et des services financiers. L’étude a constaté que 57% des entreprises, tant en France qu’à l’échelle mondiale, disposent d’un programme de données dans lequel elles analysent différents types de données afin de déterminer si elles ont atteint leur fin de vie. Mais près d’un quart (24%) en France utilisent l’approche brutale qui consiste à établir automatiquement une date d’expiration des données, solution simple mais inefficace puisqu’elle ne tient pas compte de ce que sont les données, de ce à quoi elles servent ou du risque qu’elles ne tombent entre de mauvaises mains.
Les entreprises de santé et de services financiers en France sont toutefois conscientes des nouveaux défis auxquels elles sont confrontées, pour gérer les données en fin de vie sur le cloud. En réalité, 65% d’entre elles ont jugé nécessaire de réévaluer comment elles déterminent les données qui ne sont plus nécessaires en passant de l’analogique au numérique. Mais outre le fait qu’elles se trouvent en difficulté lorsqu’il s’agit de la classification et de la minimisation des données, un pourcentage préoccupant de 57% des répondants a rapporté avoir recours à la suppression des données, un processus qui ne supprime généralement que les pointeurs des données, au moins certaines fois pour traiter certaines de leurs données en fin de vie. Cela laisse les données intactes et récupérables sans preuve d’audit fiable permettant de prouver la destruction complète des données en fin de vie.
Les meilleures pratiques qui peuvent avoir été mises en place dans les datacenters sur site peuvent être abandonnées lorsque les entreprises migrent leurs données sur le cloud. Bien que les fournisseurs de cloud soient généralement tenus de faire référence aux processus de suppression ou de destruction des données dans les contrats avec les utilisateurs, la pratique consistant à recevoir des garanties claires que des données sensibles spécifiques ont été définitivement supprimées n’en est encore qu’à ses prémisses, ce qui rend les secteurs hautement réglementés vulnérables à la fois aux problèmes de non-conformité réglementaire et aux menaces d’accès non autorisé aux données.
L’adoption rapide du cloud générée par la Covid met en lumière la nécessité pour les entreprises de repenser la propriété de leurs données sur un marché fortement réglementé et saturé de menaces. Le rapport énumère les meilleures pratiques qui guideront ces entreprises et les autres entreprises dépendantes des données pour assurer le respect des réglementations et leur permettre de continuer à se protéger et à protéger leurs clients.
