Risque Big Data : de nombreuses entreprises négligent la qualité des données
Des données obsolètes, imprécises et incomplètes réduisent la pertinence des analyses et entraînent un surcroît de travail - le Big Data devient ainsi un risque pour la sécurité. Les outils d'analyse de données sophistiqués, qui fonctionnent de plus en plus souvent sur la base de l'intelligence artificielle, n'apportent pas grand-chose si la qualité des données n'est pas bonne. Les entreprises qui s'appuient fortement sur les données pour leurs modèles commerciaux et leurs processus ont donc besoin de directives claires sur la manière et le moment où les données peuvent être gérées et éventuellement supprimées.
Les entreprises collectent des données de plus en plus nombreuses et variées et utilisent de plus en plus de canaux pour interagir avec leurs clients. Il n'est pas rare qu'il en résulte des silos de données fragmentés qui ne peuvent être rompus et centralisés qu'au prix d'efforts considérables. Dans ce contexte, le risque est grand de voir apparaître des ensembles de données imprécis, incomplets et obsolètes, qui réduisent la pertinence et l'actualité des connaissances acquises dans les analyses.
Risque Big Data
D'un point de vue juridique également - mot-clé : règlement général de l'UE sur la protection des données (RGPD) - la complexité a augmenté. Cela concerne notamment aussi la question de la suppression des données. Selon une Étude de BlanccoSelon l'étude de l'Institut de recherche sur l'informatique et les libertés (IRIS), spécialiste de la gestion des données, la quasi-totalité (96 %) des plus de 1 800 entreprises interrogées dans le monde disposent de directives sur le traitement et la suppression des données. Mais la plupart des entreprises ne parviennent pas à communiquer ces règles à leurs collaborateurs de manière exhaustive.
Des données sensibles peuvent tomber entre de mauvaises mains
Dans ce contexte, il règne dans de nombreuses entreprises un sentiment de fausse sécurité dans la manipulation des données - en particulier lorsqu'il s'agit de les supprimer. Comme le montre l'étude, la destruction physique des supports de données ou les processus d'effacement et de formatage sont fréquents. Or, les disques durs simplement formatés sont relativement faciles à restaurer, ce qui peut permettre à des données sensibles de tomber entre de mauvaises mains.
Un risque similaire existe également lorsque des employés quittent l'entreprise ou que des ordinateurs portables ou de bureau, des disques durs ou du matériel de serveur obsolètes sont destinés à être mis au rebut. Selon l'étude, environ la moitié de tous les appareils usagés sont éliminés par des fournisseurs tiers et échappent ainsi à la sphère d'influence directe de l'entreprise. Si les appareils sont stockés longtemps avant d'être effacés ou si les données qui ont été effacées en toute sécurité ne sont pas suffisamment documentées, les entreprises peuvent rapidement se retrouver en difficulté pour s'expliquer.
Institutionnaliser les compétences en matière de données et créer des responsabilités claires
Dans ce contexte, la simple formulation de directives relatives à la conformité et à la protection des données ainsi qu'au traitement et à la suppression des données ne suffit pas. Les entreprises qui travaillent avec des données et leur analyse ont besoin, au-delà du simple texte réglementaire, de responsabilités personnelles claires en matière de compétence et de sécurité des données, par exemple sous la forme d'un CDO (Chief Data Officer ou Chief Digital Officer). Celui-ci porte la responsabilité de la mise en œuvre des directives correspondantes, fait progresser leur respect et leur application et exige ou communique les processus nécessaires à cet effet.
Comment supprimer des données en toute sécurité et conformément à la loi ?
- Il convient tout d'abord de définir les conditions-cadres. Il s'agit notamment de définir des normes en matière de disponibilité, d'utilisation, de qualité des données, d'accès, de sécurité et de protection des données.
- Les responsabilités pour la mise en œuvre des directives et le contrôle de leur respect doivent être clairement réparties.
- Les dates de nettoyage et d'effacement des données à caractère personnel ainsi que les délais de conservation doivent également être définis dans le cadre. Les exigences légales (telles que le RGPD) doivent également être prises en compte.
- Les directives préalablement définies doivent être communiquées à l'ensemble de l'entreprise et tous les collaborateurs doivent être sensibilisés au thème de la qualité des données.
- La politique d'effacement des données doit couvrir tous les actifs informatiques - y compris les smartphones, les tablettes, les PC, les serveurs et l'infrastructure virtuelle.
- Il est important que les appareils contenant des données sensibles ne quittent pas l'entreprise ou l'environnement du centre de calcul - ceci est particulièrement vrai dans le contexte où l'utilisation privée et professionnelle des terminaux ne peut plus être clairement séparée par des modèles de travail hybrides.
- Il convient également de veiller à ce que les données des appareils usagés restent dans la zone d'influence de l'infrastructure informatique de l'entreprise concernée, par exemple en cas de recyclage ou de donation. Dans ce cas, les données doivent être effacées des appareils sur place et le nettoyage doit être attesté par un certificat correspondant.
- Si un prestataire externe se charge de l'élimination des appareils usagés, il devrait établir une chaîne de preuves complète sur la manière dont les marchandises ont été traitées en détail depuis leur enlèvement. Il est recommandé dans ce cas de faire établir un certificat de destruction des données pour chaque appareil.
- Les appareils en fin de vie doivent être jetés, de préférence dans les 24 heures.
Source : Sage
