Guide de gestion des risques liés aux données

La donnée est le moteur vital de toute organisation. Une utilisation incorrecte ou inadaptée peut gravement perturber les opérations et compromettre les résultats attendus. Les risques doivent être identifiés, compris, quantifiés, puis classés dans différentes catégories : éviter, transférer, atténuer, etc. Accepter les risques liés aux données et en gérer les conséquences doit être une démarche pleinement consciente. En d’autres termes, une gestion des risques pilotée par les données est aujourd’hui une capacité essentielle pour toutes les organisations.

La gestion des risques liés aux données regroupe l’ensemble des pratiques visant à identifier, évaluer et réduire ces risques à un niveau acceptable. Ce sujet a toujours été important, mais les enjeux sont aujourd’hui encore plus élevés avec l’essor du travail à distance, la multiplication des cyberattaques et les risques liés à la sécurité dans le cloud. Le rapport annuel sur le coût des violations de données, mené par le Ponemon Institute, révèle que chaque incident coûte désormais en moyenne 4,24 millions de dollars aux entreprises – un record en 17 ans. Selon Ponemon, la sécurité ne suit pas le rythme des évolutions rapides de l’IT, notamment avec le télétravail et les services cloud. Et les conséquences sont lourdes : près de 20 % des entreprises interrogées ont signalé que le travail à distance avait contribué à la faille, portant le coût moyen à 4,96 millions de dollars (soit près de 15 % de plus que la moyenne). Les entreprises ayant subi une violation lors d’une migration vers le cloud ont vu les coûts grimper de 18,8 % par rapport à la moyenne.

Compte tenu de ces tendances et du fait que le cloud et le travail à distance sont désormais bien ancrés dans le paysage, il devient essentiel de les sécuriser dans le cadre de votre stratégie de gestion des risques liés aux données. Cela implique de comprendre les risques et menaces potentiels, d’évaluer leur probabilité et leur impact, d’analyser votre posture de sécurité actuelle, ainsi que les mesures correctives à mettre en place. Chacun de ces environnements présente des défis spécifiques qu’il vous faudra relever. Les risques liés au cloud sont complexes : manque de visibilité, risques liés au Big Data, défis des migrations de données, vulnérabilités du stockage cloud, erreurs de configuration, etc. Du côté du télétravail, les principales préoccupations concernent les fuites de données, le manque de visibilité sur les utilisateurs hors du réseau d’entreprise, ou encore les attaques de type phishing – pour ne citer que quelques exemples.

Gestion des risques liés aux données

La gestion des risques liés aux données désigne l’ensemble des pratiques mises en œuvre par une organisation en matière de gouvernance, de processus, de procédures et de conformité pour acquérir, stocker, traiter, transformer et utiliser les données tout en maîtrisant ou en éliminant les risques associés. L’analyse des risques consiste à examiner les actifs de l’organisation, les menaces potentielles et les vulnérabilités afin d’identifier les risques et de mettre en place les contre-mesures adaptées.

Les risques liés aux données peuvent provenir de plusieurs sources :

• Une gouvernance des données défaillante : les organisations doivent s’assurer de la qualité de leurs données pour soutenir la prise de décision. Une bonne gouvernance consiste à trouver le juste équilibre entre la démocratisation des données et la nécessité de limiter l’accès selon les usages et les responsabilités.
• Une mauvaise gestion des données : l’ensemble du cycle de vie des données doit être sécurisé, qu’elles soient en transit ou au repos. Toutes les pratiques liées à l’acquisition, au stockage, à la transformation, au chargement et au traitement des données doivent être rigoureusement encadrées.
• Une sécurité des données insuffisante : les entreprises doivent continuellement renforcer la protection de leur environnement face aux cyberattaques et aux compromissions internes involontaires, grâce notamment aux correctifs, à la formation et à l’adoption du modèle « zero trust ».
• Une mauvaise gestion des correctifs : les mises à jour système doivent être appliquées en temps voulu. Si ce n’est pas le cas, des failles peuvent apparaître et être exploitées. Autant que possible, la gestion des correctifs doit s’appuyer sur des bulletins automatisés.
• Des capacités de diagnostic et d’atténuation continues (CDM) : conformément aux recommandations de l’US-CERT, les organisations doivent mettre en œuvre un programme de sécurité informatique automatisé et basé sur les risques, couvrant l’ensemble des infrastructures, applications et données — sur site comme dans le cloud. Contrairement aux systèmes ou aux applications, les données subissent rarement des dommages irréversibles, mais leurs risques ont des répercussions durables. C’est pourquoi l’analyse des risques de type « Prévenir-Détecter-Réagir » doit placer les données au cœur du programme CDM.

Quelques avantages de la gestion des risques liés aux données :

• Réduction des coûts pour l’organisation, qu’il s’agisse d’amendes réglementaires, de pertes de temps, de fidélisation client ou de nombreuses autres sources de dépenses.
• Réduction des risques grâce à une approche proactive plutôt que réactive, avec une stratégie claire pour la gestion globale des risques.
• Renforcement de l’agilité de l’organisation, en lui permettant de réagir rapidement aux imprévus. L’évaluation et la gestion proactive des risques liés aux données sont essentielles à la continuité des activités.
• Pérennité de l’entreprise, assurée par sa capacité à fournir et à maintenir ses produits et services. Sans une gestion rigoureuse des risques, les organisations s’exposent à des menaces existentielles.
• Satisfaction client, qui repose en grande partie sur la capacité de l’entreprise à sécuriser les données partagées dans le cadre de ses activités. Des scores élevés de satisfaction ou de recommandation client sont directement liés à la maîtrise des risques liés aux données.

En somme, les bénéfices de la gestion des risques liés aux données justifient largement les investissements nécessaires. Lorsqu’elle est structurée comme une véritable pratique interne, elle devient un levier de réussite pour l’ensemble de l’organisation. Le guide qui suit vous apportera des conseils concrets pour mettre en œuvre une démarche efficace de gestion des risques liés aux données au sein de votre organisation.

Guide de gestion des risques liés aux données

La gestion des risques liés aux données ne peut pas être reléguée au second plan dans une organisation. Pour qu’elle soit efficace, elle doit s’appuyer sur une volonté stratégique claire, un engagement au niveau de la direction, et une évolution culturelle en profondeur. La première étape consiste à constituer une équipe responsable de la gestion de ces risques, avec des rôles et des responsabilités bien définis. Il convient également d’élaborer une matrice RACI globale spécifique à la politique de gestion des risques liés aux données. Il est fortement recommandé de nommer un Délégué à la protection des données (DPO), chargé de construire un cadre de gestion des risques. Ce cadre devra inclure des objectifs, des finalités et des indicateurs de suivi.

Quelques tâches, conseils et orientations en matière de gestion des risques liés aux données :

• Identifier les risques, menaces et vulnérabilités : commencez par une évaluation des risques au niveau du centre de données.
• Évaluer la probabilité et l’impact : réalisez une analyse d’impact sur l’activité (BIA). Il peut être utile de faire appel à un prestataire externe. Pensez à intégrer les implications financières et l’évolution du risque dans le temps afin de prioriser les actions à mener.
• Définir la gouvernance, les politiques, les obligations réglementaires et les exigences de conformité, notamment en identifiant et en adoptant les meilleures pratiques en matière de gestion des risques liés aux données.
• Évaluer les contrôles déjà en place, et maintenir cette activité dans le temps pour suivre l’évolution du paysage des menaces. Intégrer les contrôles dans les pratiques, les processus et les consignes de travail à l’échelle de l’organisation.
• Élaborer une stratégie et un plan de réponse aux risques : évitement, atténuation, transfert, acceptation. La souscription d’une assurance cybersécurité est par exemple un moyen de transférer le risque lié aux cyberattaques. Il est essentiel de prévoir un plan pour chaque catégorie de risque.
• Tester le plan pour vérifier son efficacité ; le cas échéant, ajuster les mesures et revoir les autres éléments de votre dispositif de gestion des risques.
• Surveiller les risques et recueillir des retours. Utilisez autant que possible des outils automatisés, mais complétez-les par les retours des collaborateurs à travers toute l’organisation.
• Mettre en œuvre une démarche d’amélioration continue. La gestion des risques doit devenir une capacité pérenne au sein de l’organisation.

Quelques risques potentiels à identifier et à gérer :

• La corruption des données peut survenir à tout moment : lors de la lecture, de l’écriture, de la transmission, du chargement ou du traitement. Il est donc essentiel d’identifier les risques liés à chaque étape du cycle de vie des données — réplication, duplication, sauvegarde et restauration — et de les encadrer efficacement.
• La défaillance des appareils, sur site ou dans le cloud, constitue un risque majeur pour les données. Les organisations doivent avoir une vision complète de leur pile technologique et des données associées, et prévoir des plans d’action pour limiter les risques.
• La conformité réglementaire des données doit être assurée, aussi bien pour les clients et les partenaires que vis-à-vis des normes propres à certains secteurs ou régions : Règlement général sur la protection des données (RGPD), HIPAA, CJIS, FERPA, ITAR, CCPA… La confidentialité et la confiance autour des données doivent être gérées activement, car chacune de ces réglementations renforce la nécessité d’une gestion rigoureuse des risques liés aux données.
• Le verrouillage fournisseur dans la gestion des données peut entraîner des coûts élevés. Il convient de relire les contrats et d’évaluer attentivement les coûts par rapport à la valeur réelle apportée.
• La rémanence des données, si les procédures de retrait ne sont pas correctement appliquées, peut constituer un risque pour l’organisation. Il est impératif de s’assurer que les processus sont bien en place et correctement exécutés.
• L’identification des failles et vulnérabilités de sécurité peut se faire via des audits. Réaliser des audits de données reste une bonne pratique pour mieux maîtriser les risques au sein des organisations.
• Le stockage et la gestion à long terme de données inutilisées sont coûteux. Les données non exploitées n’ont pas de valeur, et leur gestion sans objectif précis constitue une perte de temps et de ressources. Cela concerne aussi bien la gouvernance que la conformité.
• Politique et comportements humains – logiciels malveillants, hameçonnage, logiciels espions, etc.
• Les risques liés aux services Cloud SaaS, PaaS et IaaS doivent être clairement identifiés et gérés, car chaque type de service comporte des vulnérabilités spécifiques. Même si une organisation n’utilise pas l’ensemble de ces services, elle doit comprendre comment chacun peut impacter la gestion des risques liés aux données.
• La continuité d’activité repose sur une bonne anticipation des interruptions de service, des violations de données, des pertes de données et autres incidents, avec des plans de réponse adaptés déjà en place.
• La réponse aux incidents majeurs doit être planifiée et opérationnelle dès qu’un problème de gestion des données survient. Ce plan doit être testé ou simulé régulièrement afin d’en garantir l’efficacité en situation réelle.
• La sécurité physique doit être identifiée et comprise, aussi bien face aux intrusions humaines qu’aux catastrophes environnementales, qu’il s’agisse d’environnements sur site ou dans le cloud. Les organisations doivent non seulement sécuriser leurs propres infrastructures, mais aussi évaluer les pratiques de sécurité physique de leurs fournisseurs, en particulier dans un contexte où le télétravail et le retour au bureau coexistent.
• Les risques liés aux logiciels tiers et à l’infrastructure externe doivent être rigoureusement évalués, car tout fournisseur peut être victime d’une violation de données avec des répercussions directes sur ses clients. Une faille compromettant un logiciel tiers peut ensuite se propager dans l’environnement de l’organisation et avoir un impact durable. Il est donc crucial de s’assurer que chaque fournisseur protège efficacement les données, en particulier les données sensibles des clients.

Quelques aspects clés de la gestion des données à ne pas négliger :

• L’importance des sauvegardes ne doit jamais être sous-estimée, que ce soit pour une organisation ou à titre personnel. Elles permettent de restaurer les données en cas de panne de courant, de cyberattaque, de catastrophe naturelle, d’erreur humaine, etc. Elles sont donc essentielles pour une bonne gestion des risques liés aux données.
• La redondance améliore la capacité de l’organisation à maintenir son activité. Avoir des copies redondantes des données permet de limiter les risques de perte de données, qu’elle soit due à des interruptions prévues ou imprévues.

Les risques humains liés à la gestion des données doivent être identifiés et traités. L’une des approches les plus efficaces consiste à sensibiliser les collaborateurs et à leur apprendre à gérer les risques liés aux données au sein de l’organisation. Il est essentiel que chacun comprenne ces risques et sache comment réagir le moment venu. Les bonnes pratiques acquises en entreprise peuvent d’ailleurs aussi servir dans la sphère personnelle, en réduisant les risques de fuite ou de mauvaise manipulation des données privées.

Aujourd’hui, de plus en plus d’organisations adoptent des technologies et pratiques liées au Big Data. Cela implique de nouveaux risques, qui doivent impérativement être intégrés à la stratégie de gestion des risques liés aux données. Chaque entreprise doit examiner son architecture Big Data et évaluer les risques associés, que ce soit en environnement sur site, cloud ou hybride. Les risques liés à la migration de données dans le cloud, ou à la sécurité du stockage dans le cloud, doivent être soigneusement analysés. Dans certains cas, il peut être nécessaire d’ajuster l’architecture cloud pour mieux maîtriser ces risques et les coûts associés. En somme, la gestion des risques liés au Big Data doit s’inscrire pleinement dans une stratégie globale de gestion des risques de données.

Conclusion

La gestion des risques liés aux données est une responsabilité qui concerne l’ensemble des fonctions de l’organisation — métiers, marketing, ventes, ressources humaines, opérations, applications, juridique, etc. Adopter une approche proactive en identifiant les risques, en mettant en place des contrôles et en préparant des plans d’action peut faire toute la différence lorsque la situation l’exige. Ne reléguez pas la gestion des risques de données au second plan, et ne la considérez pas comme une dépense superflue. Elle fait partie intégrante du coût de fonctionnement d’une entreprise et doit être perçue comme telle. Méfiez-vous des raccourcis, et privilégiez une démarche stratégique et globale.

Par ailleurs, il est recommandé de s’appuyer sur des cadres de référence et des bonnes pratiques. Le NIST (National Institute of Standards and Technology) est notamment l’un des experts les plus reconnus en matière de gestion des risques. Il propose de nombreux cadres de référence couvrant la cybersécurité, la gestion des risques, l’intégration de la cybersécurité à la gestion des risques d’entreprise (ERM), la protection de la vie privée, et bien plus encore. Le guide du NIST pour la sécurité des appareils mobiles en entreprise (version préliminaire SP 800-124 Rev. 2) est une autre ressource utile pour démarrer. Vous pouvez également consulter le 2021 DBIR Master’s Guide publié par Verizon.