Comment garantir la maîtrise des données en entreprise ?


Rédigé par Juliette Rizkallah, SailPoint le 26 Janvier 2017

Quelle proportion de vos données maîtrisez-vous ? Nos recherches indiquent que 7 utilisateurs sur 10 ont accès à des données dont ils ne sont pas propriétaires[1]. Un constat qui concerne plus particulièrement les énormes quantités de données non structurées résidant en dehors des systèmes et applications structurés. Le volume de données non structurées[2] en entreprise connaît une croissance exponentielle, et chaque e-mail envoyé ou document créé vient s'ajouter à la liste. Mais, à la différence des systèmes et des données structurés, les données non structurées ne sont généralement pas liées à un propriétaire facilement identifiable capable de surveiller les personnes ayant accès à ces données. Il suffit de regarder les récentes attaques des comptes Yahoo en France et des dommages que cela a engendré[3]. Une étude publiée par Keeper nous révèle que le niveau de sécurité des mots de passe reste très bas. Pas moins de 10 millions de mots de passe ont fuité sur le net en 2016, le plus utilisé étant toujours le fameux « 123456 »[4]. Le manque de gouvernance des accès aux données est un défi considérable dont les implications sont profondes, et susceptible de causer de nombreux préjudices.



Juliette Rizkallah, Chief Marketing Officer, SailPoint
Pour replacer le problème dans son contexte : les systèmes structurés comme un ERP ou une application financière sont généralement supervisées par « un propriétaire de données » ayant pour objectif de contrôler les personnes ayant accès à ces données, ainsi que les données qui y sont conservées. Mais dans la plupart des entreprises, aucun propriétaire n’est identifié et bien souvent les données extraites de ces applications sont copiées par toutes sortes d’utilisateurs sur des fichiers Excel ou PowerPoint partagés par e-mail à plusieurs destinataires. Par conséquent, assurer la sécurité de données non structurées, parfois extrêmement sensibles, est un défi particulièrement complexe.

Avec une gouvernance des accès aux données bien pensée la tâche devient plus aisée. Elle doit s’inscrire dans le cadre d’une stratégie globale de gestion des identités et faire partie intégrante du dispositif de sécurité de l’entreprise.

L’importance de designer des propriétaires de données

Principale problématique : identifier le propriétaire des données. En règle générale, les individus qui détiennent les données sont ceux qui les créent ou les utilisent. Cela signifie qu'il n'y a aucun propriétaire unique pour superviser les données non structurées et assurer leur sécurité. Pour que la gouvernance des accès aux données fonctionne, un propriétaire, capable de superviser les données, savoir où elles résident et la manière dont elles sont distribuées, doit être désigné.

Prenons un exemple : le département des RH fait appel à un stagiaire pour mettre à jour les informations des employés dans une base de données. Pour déterminer le propriétaire des données, les utilisateurs, le plus souvent ceux qui manipulent les données, peuvent désigner dans un effort collaboratif qui va endosser ce rôle. Dans une optique « d’utilisation », le stagiaire devrait être le propriétaire de ces données puisque c'est lui qui y accède et les utilise le plus.
Mais le choix du propriétaire doit s’inscrire dans une logique de processus. De ce point de vue, la propriété des données reviendrait de préférence au responsable hiérarchique du stagiaire ou même au directeur du département.

Commencer par des méthodes automatisées pour trouver, catégoriser et contrôler l'accès aux données peut être un bon point de départ pour atténuer les risques de violation des données. Mais en définitive, la capacité à identifier le propriétaire de données approprié pour les données non structurées en demandant conseils auprès des utilisateurs est la seule façon de véritablement protéger ces données.

En s’appuyant sur une solution de gouvernance des accès aux données, les entreprises gagnent en autonomie sur leurs propres données et disposent d'un moyen de toutes les gérer, ce qui leur permet de répondre à la question de qui a accès à quoi, quel que soit l'endroit où se trouvent les données. Même si sécurité est un des principaux critères pour la mise en œuvre d'une gouvernance des accès aux données, celle-ci permet également d'améliorer la productivité sur le lieu de travail et de disposer de meilleurs processus pour assurer à conformité de l’entreprise. Lorsque le département informatique détient toutes les informations sur les utilisateurs d'une entreprise et leurs accès, aux applications comme aux données, il a le pouvoir de prendre rapidement les décisions appropriées en cas de violation de données.

[1] Source : https://www.sailpoint.com/weak-security-practices-leave-organizations-exposed/
[2] Définition : Une donnée non structurée est une désignation générique qui décrit toute donnée représentée ou stockée sans format prédéfini. Les données non structurées textuelles sont générées par courriels, les présentations .ppt, les documents word, ou encore les logiciels de collaboration ou messagerie instantanée.
[3] Source : http://www.lefigaro.fr/secteur/high-tech/2016/12/15/32001-20161215ARTFIG00001-un-milliard-de-comptes-yahoo-touches-par-une-autre-attaque-informatique.php
[4]Source : http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-823850-mots-utilises-2016.html



Dans la même rubrique :