Instaurer la confiance à l'heure de l'insécurité des données grâce à une stratégie proactive
Maîtriser la confidentialité des données nécessite de s'engager à cartographier continuellement les risques. Pour atteindre cet objectif, la première étape consiste à adopter les meilleures pratiques et les outils automatisés qui vont effectuer le gros du travail.
Les données sont l'élément vital de l'économie digitale d'aujourd'hui, mais cela ne vaut que si elles sont fiables. Si elles alimentent l'innovation et l'agilité, elles sont aussi au cœur de la multiplication des menaces pour la sécurité et du renforcement des exigences réglementaires. La capacité à trouver le bon équilibre entre la protection des données et l'excellence opérationnelle est de plus en plus liée à la capacité à inspirer la confiance des clients, des collaborateurs et des investisseurs.
Ce que les DSI recherchent aujourd'hui plus que tout, c'est la certitude que les données métier, RH et financières essentielles ne sont pas seulement conformes, mais aussi protégées contre les cybermenaces et les acteurs internes malveillants.
Selon un rapport IDC de septembre 2023, de nombreuses entreprises ont connu une hausse des cyberattaques d'une année sur l'autre, y compris 54 % des entreprises européennes. C'est l'une des raisons pour lesquelles la sécurité des données figure désormais en tête des priorités des dirigeants de tout le continent. Concrètement, 45 % des chefs d'entreprise interrogés en Europe ont déclaré qu'ils donneraient la priorité aux dépenses liées à la sécurité des données, à l'atténuation des risques et à la conformité pour soutenir la collaboration et le partage des données en toute confiance. Leur principale priorité en matière de sécurité opérationnelle ? La confidentialité des données et la conformité réglementaire.
Dans ce contexte, ce que les DSI recherchent aujourd'hui plus que tout, c'est la certitude que les données métier, RH et financières essentielles ne sont pas seulement conformes, mais aussi protégées contre les cybermenaces et les acteurs internes malveillants. La voie la plus rapide vers ce niveau de confiance est désormais toute tracée. Les leaders technologiques ont besoin d'une stratégie proactive de gestion de la confidentialité des données qui s'appuie sur les meilleures pratiques et une technologie de pointe, et déploie des outils d'automatisation personnalisés qui renforcent les contrôles, la surveillance et les audits.
« Les risques augmentent en même temps que la complexité et l'ampleur des données, souligne Mark Eaglefield, Head of Digital Products chez Veolia UK, un leader mondial des services environnementaux actif dans près de 50 pays. Sans une attitude proactive, il est impossible de quantifier le niveau de risque de l'entreprise, jusqu'à ce que le mal soit fait et que la confiance soit perdue. »
Lorsqu'il s'agit des vulnérabilités des multinationales en matière de sécurité des données et de conformité, il peut être difficile de savoir par où commencer. En 2019, les leaders technologiques de Veolia ont pris une décision clé qui a fondé toute sa stratégie de gestion des données : le déploiement intégral de la plateforme Workday.
« Nous ne partons jamais du principe que nos acteurs impliqués savent et comprennent comment nous souhaitons protéger les données et quels sont les enjeux. »
Mark Eaglefield
Head of Digital Products, Veolia UK
Pour Mark Eaglefield, un environnement technologique unifié couvrant entre autres la gestion du capital humain, la Finance, la paie et le recrutement a permis d'établir une base de processus bien définis, documentés et gérés concernant l'accès et la sécurité des utilisateurs. « Il s'agit d'une base solide, que nous renforçons avec les meilleures pratiques intégrées dans notre stratégie évolutive et proactive de confidentialité des données », explique-t-il.
Au premier rang de ces pratiques figurent les efforts constants d'éducation et de sensibilisation à la confidentialité des données et à la sécurité des utilisateurs. L'équipe IT de Veolia sensibilise différents groupes d'acteurs impliqués (par exemple les utilisateurs finaux, les auditeurs et les équipes IT) par le biais de sessions de formation, de publications sur les politiques et procédures et de divers canaux de communication. « Il s'agit d'un cycle continu : l'éducation et la sensibilisation sont essentielles, explique encore Mark Eaglefield. « Nous ne partons jamais du principe que nos acteurs impliqués savent et comprennent comment nous souhaitons protéger les données et quels sont les enjeux. »
Autre bonne pratique adoptée par Veolia : la constitution d'une équipe d'experts internes dédiés à la sécurité. Ces experts, qui maîtrisent parfaitement l'environnement d'exploitation de Workday, collaborent étroitement avec les équipes internes chargées de la protection des données. Ils sont au fait des dernières législations en matière de confidentialité des données et des exigences réglementaires qui en découlent et ont un impact sur l'entreprise. Ils effectuent une sorte de « révision par les pairs », contribuant à garantir que les politiques, les procédures et les contrôles de l'entreprise reflètent toujours la menace et le paysage réglementaire actuels, indique Mark Eaglefield.
« En ce qui concerne la sécurité et la conformité basées sur les utilisateurs, ces experts sont des collaborateurs essentiels qui nous permettent de renforcer continuellement la conception de notre configuration particulière », explique-t-il.
Chaque entreprise a un environnement de données unique à protéger et des risques associés contre lesquels se prémunir. Chez Veolia, les responsables de la sécurité étaient de plus en plus conscients des vulnérabilités liées à l'accès proxy.
« Plus l'entreprise est complexe, plus il est difficile d'avoir une vue globale des risques liés aux données. »
Kim Freestone
Product Principal, Kainos
L'entreprise avait mis en place une politique d'accès proxy pour son environnement hors production, qui permettait aux utilisateurs bénéficiant de ce type d'accès de voir toutes les données que les titulaires voient habituellement. Bien que seul un petit nombre de personnes de confiance bénéficiaient d'un tel accès, l'absence de masquage des données exposait Veolia à des risques potentiels de non-respect de la conformité et de violation de la protection des données. L'entreprise a trouvé la parade en adoptant Smart Shield, un outil conçu par Kainos pour permettre le masquage des données pour des utilisateurs proxy spécifiques dans Workday.
« Désormais, nous pouvons nous assurer qu'un utilisateur affecté à un groupe proxy Finance, par exemple, ne puisse pas consulter les données de rémunération de la personne qu'il représente », se réjouit Mark Eaglefield.
Dans les grandes entreprises comptant des milliers, voire des dizaines de milliers d'utilisateurs, il est impossible d'auditer manuellement les configurations des utilisateurs en ce qui concerne la séparation des tâches et les niveaux d'accès au système. L'automatisation des audits doit faire partie de toute solution proactive en matière de confidentialité des données, et c'est pourquoi de nombreux leaders IT s'appuient sur des outils de surveillance de la sécurité à 360 degrés.
« Plus l'entreprise est complexe, plus il est difficile d'obtenir une vue globale des risques liés aux données, [par exemple] des collaborateurs qui ont un accès inapproprié et illimité à des données très sensibles », avertit Kim Freestone, Product Principal chez Kainos.
Veolia, qui compte 14 000 utilisateurs, a choisi de mettre en œuvre l'outil Smart Audit de Kainos, qui automatise la surveillance de la sécurité des données en signalant notamment les processus de gestion et les données présentant un risque élevé de fraude et de violation. Il est très utile d'avoir un point de vue global, en termes de séparation des tâches et d'identification des conflits associés, note Mark Eaglefield. Des contrôles préventifs permettent de vérifier si le niveau d'accès des utilisateurs aux données est justifié, et un e-mail quotidien offre à son équipe de contrôle interne une vue d'ensemble des anomalies, ainsi que le détail des conflits en cours et des processus examinés.
Selon Kim Freestone, l'évaluation proactive des risques ne se limite pas à mettre en place des contrôles et des processus pour protéger les données dans les zones d'accès privilégié. « Il s'agit également de réunir un ensemble de preuves pour montrer aux auditeurs, qu'ils soient internes ou externes, que vous prenez au sérieux l'atténuation des risques », précise-t-il.
À l'heure de l'augmentation des menaces de sécurité et de l'émergence de l'IA, la confiance se mérite dans le domaine de la confidentialité et de la protection des données. Cela sera d'autant plus vrai que les entreprises devront à la fois exploiter la puissance de l'IA et se conformer à des cadres réglementaires entièrement nouveaux régissant les ensembles de données et les pratiques, tels que la loi sur l'IA de l'Union européenne.
L'absence de risque n'existe pas lorsqu'il s'agit de données en réseau. Mais avec une stratégie proactive de gestion des données qui englobe à la fois les bonnes pratiques et le meilleur de ce qu'offre actuellement la technologie, les DSI peuvent construire et affiner une infrastructure IT tournée vers l'avenir. Au lieu de s'inquiéter des risques inconnus, les dirigeants peuvent gagner en assurance grâce à un modèle de sécurité hautement configurable régissant l'ensemble des applications et des données de l'entreprise. Les bons outils peuvent mettre en évidence les risques et déclencher les mesures de protection adéquates avant qu'il ne soit trop tard.
Selon Mark Eaglefield, la plus grande erreur en matière de données est l'autosatisfaction : « N'attendez pas qu'un problème survienne, prenez les choses en main dès maintenant. »
En lire plus
Résoudre l'équation de la confiance : l'IA responsable dans la région EMEA
Ce numéro explore l'importance de la confiance dans l'adoption de l'IA et présente les points de vue des leaders IT de la région EMEA, des analyses d'experts sur les défis liés à la confiance, et des stratégies pour un déploiement responsable de l'IA. Découvrez comment renforcer la confiance et réussir votre transformation digitale.
À l'ère de l'IA, les dirigeants doivent instaurer la confiance. Mais comment ?
Avec la grande incertitude entourant l'IA, les équipes de sécurité et de gouvernance évoluent dans un environnement en perpétuel changement. Mais une chose est sûre : la confiance n'a jamais été aussi importante.
Points de vue d'experts sur l'avenir de l'IA dans les entreprises et la société
Découvrez l'avis d'experts sur l'avenir de l'IA réunis lors de Workday Rising EMEA l'année dernière. Profitez des insights du docteur Tomas Chamorro-Premuzic et de bien d'autres.