Date de publication : 5 avril 2024
Contributeurs : Annie Badman, Matthew Kosinski
La protection des données est une pratique qui consiste à protéger les informations sensibles contre le vol et la corruption, et à assurer leur disponibilité et leur conformité aux exigences réglementaires.
Une stratégie de protection des données efficace ne se contente pas de protéger les données. Elle peut également répliquer et restaurer les données en cas de perte ou de dommage. En effet, les fondements de la protection des données sont la sauvegarde et la disponibilité des données. La disponibilité consiste à s’assurer que les utilisateurs peuvent accéder aux données pour les opérations commerciales, même si celles-ci sont endommagées, perdues ou corrompues, comme dans le cas d’une violation de données ou d’une attaque par logiciel malveillant.
L’accent mis sur la disponibilité explique pourquoi la protection des données est étroitement liée à leur gestion, une pratique plus large axée sur la gestion tout au long du cycle de vie des données afin de s’assurer qu’elles sont fiables, sécurisées et exploitables pour les décisions stratégiques de l’entreprise.
Aujourd’hui, les stratégies de protection des données englobent à la fois les mesures traditionnelles de protection des données, comme les sauvegardes et les fonctions de restauration, et les plans de continuité des activités et de reprise après sinistre (BCDR). C’est pourquoi de nombreuses organisations adoptent des services tels que la reprise après sinistre en tant que service (DRaaS) dans le cadre de leurs stratégies globales de protection des données.
Bien que les termes « protection des données » et « sécurité des données » soient souvent confondus, ces deux domaines sont distincts et présentent des différences fondamentales.
La sécurité des données est un sous-ensemble de la protection des données qui vise à protéger les informations numériques contre l’accès non autorisé, la corruption ou le vol. Elle englobe divers aspects de la sécurité de l’information, notamment la sécurité physique, les politiques organisationnelles et les contrôles d’accès.
La protection des données, quant à elle, couvre l’ensemble de la sécurité des données et va plus loin en mettant l’accent sur la disponibilité des données.
La protection des données et la sécurité des données impliquent toutes deux la confidentialité des données. Cette dernière porte sur les politiques qui renforcent le principe général selon lequel une personne doit avoir le contrôle de ses données personnelles, y compris la possibilité de décider de la manière dont les organisations les collectent, les stockent et les exploitent.
En d’autres termes, la sécurité et la confidentialité des données sont deux sous-ensembles de la protection des données.
Pour comprendre l’importance de la protection des données, il suffit de se pencher sur le rôle des données dans notre société. Chaque fois qu’une personne crée un profil en ligne, effectue un achat sur une application ou navigue sur une page Web, elle laisse une trace de plus en plus importante de données personnelles.
Ces données sont essentielles pour les entreprises. Elles les aident à rationaliser leurs opérations, à mieux servir leurs clients et à prendre des décisions commerciales capitales. De fait, de nombreuses organisations dépendent tellement des données que même un petit temps d’arrêt ou une perte de données minime pourrait nuire gravement à leurs activités et à leurs bénéfices.
Selon le rapport d’IBM, le coût moyen d’une violation de données en 2023 était de 4,45 millions de dollars, soit une hausse de 15 % en trois ans.
C’est pourquoi nombre d’entreprises privilégient la protection des données dans le cadre de leurs initiatives globales en matière de cybersécurité. Grâce à une stratégie de protection des données efficace, les organisations peuvent remédier à leurs vulnérabilités et mieux se protéger contre les cyberattaques et les violations de données. En cas de cyberattaque, les mesures de protection des données peuvent être vitales car elles réduisent les temps d’arrêt en garantissant la disponibilité des données.
Les mesures de protection des données peuvent également aider les organisations à se conformer aux exigences réglementaires en constante évolution, dont beaucoup peuvent être assorties de lourdes amendes. Par exemple, en mai 2023, l’autorité irlandaise de protection des données a imposé une amende de 1,3 milliard de dollars à la société californienne Meta pour des violations du RGPD (lien externe à ibm.com). En mettant l’accent sur la confidentialité des données, la protection des données peut aider les organisations à éviter ces infractions.
Les stratégies de protection des données peuvent également offrir de nombreux avantages liés à une gestion efficace du cycle de vie de l’information (ILM), tels que la rationalisation du traitement des données personnelles et l’amélioration de l’exploitation des données critiques pour en tirer des informations clés.
Dans un monde où les données sont le moteur de nombreuses organisations, il devient de plus en plus nécessaire pour celles-ci de savoir comment traiter, manipuler, protéger et exploiter au mieux leurs données critiques.
Conscients de l’importance de la protection des données, les gouvernements et autorités ont mis en place un nombre croissant de réglementations en matière de confidentialité et de normes relatives aux données que les entreprises doivent respecter pour exercer leurs activités auprès de leurs clients.
Voici les réglementations et les normes les plus courantes en matière de données :
Le Règlement général sur la protection des données (RGPD) instaure un cadre juridique complet pour la protection des données des individus (ou « personnes concernées ») sur le territoire de l’Union européenne (UE).
Le RGPD vise notamment à réglementer le traitement des données à caractère personnel (PII), imposant des règles strictes aux fournisseurs de données. Le règlement exige que les entreprises européennes et extra-européennes fassent preuve de transparence dans leurs pratiques en matière de collecte de données. Les organisations doivent également adopter certaines mesures spécifiques de protection des données, comme la désignation d’un délégué à la protection des données chargé de superviser leur traitement.
Le RGPD donne également aux citoyens de l’UE un plus grand contrôle sur leurs PII et une meilleure protection de leurs données personnelles (nom, numéro d’identification, informations médicales, données biométriques, etc). Les seules activités de traitement des données exemptées du RGPD sont les activités de sécurité nationale ou d’application de la loi et les utilisations exclusivement personnelles des données.
L’un des aspects les plus notables du RGPD est son intransigeance face aux cas de non-conformité. En effet, les sanctions pécuniaires en cas de non-respect des obligations en matière de confidentialité sont sévères. Le montant des amendes peut atteindre 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d’euros, le montant le plus élevé étant celui retenu.
La loi HIPAA sur la portabilité et la responsabilité en assurance santé a été adoptée aux États-Unis en 1996. Elle encadre le traitement des données de santé (PHI) des patients par les organismes et les entreprises du secteur, afin de garantir leur confidentialité et leur sécurité.
En vertu de la loi HIPAA, toute « entité concernée » est tenue de respecter certaines exigences en matière de sécurité et de protection des données. Sont concernés non seulement les professionnels de santé et les organismes d’assurance, mais aussi tous leurs partenaires ayant accès aux données de santé. Ainsi, les prestataires de services de communication de données, les prestataires de services de transcription médicale, les entreprises de logiciels et les sociétés d’assurance doivent notamment respecter la loi HIPAA s’ils traitent des PHI.
La loi CCPA (California Consumer Privacy Act), portant sur la protection de la vie privée, est une loi phare aux États-Unis.
À l’instar du RGPD, elle oblige les entreprises à faire preuve de transparence dans leurs pratiques en matière de données et à renforcer le contrôle des personnes sur leurs données personnelles. En vertu de la loi CCPA, tout résident de Californie peut demander à une entreprise la communication des données qu’elle détient sur lui, refuser la vente de ses données et demander leur suppression.
Cependant, contrairement au RGPD, la loi CCPA (et bon nombre d’autres lois américaines sur la protection des données) n’exige pas le consentement préalable de la personne (opt-in). En effet, c’est le droit d’opposition (opt-out) qui prévaut, ce qui fait qu’en l’absence de manifestation contraire de volonté de la part des consommateurs, les entreprises peuvent utiliser leurs données. Il est à noter que la loi CCPA concerne uniquement les entreprises qui dépassent un certain seuil de chiffre d’affaires annuel, ou qui traitent de grands volumes de données personnelles. Il s’applique donc à un nombre important d’entreprises californiennes, mais pas à toutes.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) est un ensemble de dispositions réglementaires qui vise à protéger les données relatives aux cartes de paiement. La norme PCI-DSS n’est pas une réglementation gouvernementale mais plutôt une série d’exigences contractuelles développée par un organisme de réglementation indépendant, le Payment Card Industry Security Standards Council (PCI SSC).
Elle s’applique à toute entreprise qui traite les données des titulaires de cartes, que ce soit en les collectant, en les stockant ou en les transmettant. Lorsqu’un processeur tiers est impliqué dans les transactions par carte bancaire, il incombe tout de même à l’entreprise acceptant la carte de garantir la conformité PCI-DSS et de prendre les mesures nécessaires pour gérer et stocker les données des titulaires de cartes en toute sécurité.
Avec l’évolution du paysage de la protection des données, plusieurs tendances façonnent les stratégies employées par les organisations pour protéger leurs informations sensibles.
Voici quelques-unes de ces tendances :
La portabilité des données met l’accent sur la circulation transparente des données entre les plateformes et les services. Cette tendance confère aux individus un plus grand contrôle sur leurs données en facilitant leur transfert entre les applications et les systèmes. La portabilité des données s’inscrit également dans la tendance générale à la transparence et à la responsabilisation des clients, en permettant aux utilisateurs de gérer leurs données personnelles plus efficacement.
Avec la généralisation des smartphones, les entreprises sont de plus en plus préoccupées par la sécurité des données sur les appareils mobiles. Ainsi, de nombreuses organisations se concentrent davantage sur la protection des données mobiles, qui met en œuvre de robustes mesures de sécurité des données pour les smartphones et les tablettes, y compris des méthodes de chiffrement et d’authentification sécurisées.
L’augmentation des attaques par ransomware a poussé de nombreuses entreprises à adopter des stratégies avancées en matière de protection des données.
Un ransomware est un type de logiciel malveillant qui verrouille les données ou l’appareil d’une victime et menace de le maintenir verrouillé (ou pire), à moins que la victime ne paie une rançon à l’attaquant. Selon l’IBM Security X-Force Threat Intelligence Index 2023 (Indice du renseignement sur les menaces 2023 d’IBM Security X-Force), les attaques par ransomware représentaient 17 % de l’ensemble des cyberattaques en 2022. En outre, les attaques par ransomware devraient coûter aux victimes environ 30 milliards de dollars au total en 2023 (lien externe à ibm.com).
La nature évolutive de ces attaques oblige les organisations à adopter des mesures de sécurité proactives, telles que des sauvegardes régulières, la détection des menaces en temps réel et la formation des employés, afin d’atténuer l’impact des ransomwares et de protéger les informations sensibles.
Les cyberattaques étant de plus en plus avancées, les entreprises reconnaissent l’importance critique de la continuité des activités en cas de sinistre. C’est pourquoi nombre d’entre elles investissent dans la reprise après sinistre en tant que service (DRaaS).
La DRaaS est une solution tierce qui fournit des capacités de protection des données et de reprise après sinistre (DR). Elle fait appel à un degré élevé d’automatisation pour limiter les temps d’arrêt et externaliser les services de reprise après sinistre, offrant ainsi aux organisations une solution évolutive et rentable pour récupérer leurs données critiques et leur infrastructure informatique en cas de catastrophe.
Lorsqu’elles optent pour une solution DRaaS, les entreprises disposent de trois options : les centres de données, les solutions cloud et les sauvegardes hybrides qui allient centres de données physiques et stockage dans le cloud.
La gestion des données de copie (CDM) aide les organisations à mieux gérer et contrôler les données dupliquées, réduisant ainsi les coûts de stockage et améliorant l’accessibilité des données. La CDM est un élément essentiel de la gestion du cycle de vie de l’information (ILM), car elle permet d’optimiser la valeur des données tout en minimisant la redondance et les inefficacités de stockage.
Les organisations recourent souvent à plusieurs solutions et technologies de protection des données pour se prémunir contre les cybermenaces et garantir l’intégrité, la confidentialité et la disponibilité des données.
Voici quelques-unes de ces solutions :
- La prévention des pertes de données (DLP) englobe les stratégies, processus et technologies que les équipes de cybersécurité utilisent pour protéger les données sensibles contre le vol, la perte et l’utilisation abusive. La DLP suit l’activité des utilisateurs et signale les comportements suspects afin d’empêcher l’accès non autorisé, la transmission ou la fuite d’informations sensibles.
- Les sauvegardes de données impliquent la création et le stockage réguliers d’une version secondaire des informations critiques. Elles favorisent la disponibilité des données en garantissant que les organisations peuvent rapidement restaurer leurs systèmes à un état antérieur en cas de perte ou de corruption des données, minimisant ainsi les temps d’arrêt et les pertes potentielles.
- Les pare-feu constituent la première ligne de défense des données en surveillant et en contrôlant le trafic réseau entrant et sortant. Ces barrières de sécurité appliquent des règles de sécurité prédéterminées, empêchant tout accès non autorisé.
- Les technologies d’authentification et d’autorisation, telles que l’authentification multifacteur, vérifient l’identité des utilisateurs et réglementent leur accès à des ressources spécifiques. Ensemble, elles garantissent que seules les personnes autorisées peuvent accéder aux informations sensibles, ce qui renforce la sécurité globale des données.
- Les solutions de gestion des identités et des accès (IAM) centralisent l’administration des identités et des autorisations des utilisateurs. En gérant l’accès des utilisateurs en fonction de leurs rôles et de leurs responsabilités, les entreprises peuvent atténuer le risque d’accès non autorisé aux données et réduire les menaces internes, qui peuvent mettre en péril les données critiques.
- Le chiffrement transforme les données en un format codé, les rendant illisibles sans la clé de déchiffrement correspondante. Cette technologie protège les transferts et le stockage des données, ajoutant une couche supplémentaire de protection contre les accès non autorisés.
- La sécurité des points de terminaison vise à protéger les appareils individuels, tels que les ordinateurs et les appareils mobiles, contre les activités malveillantes. Elle peut inclure une série de solutions, telles que des logiciels antivirus, des pare-feu et d’autres mesures de sécurité.
- Les solutions antivirus et de protection contre les logiciels malveillants détectent, bloquent et suppriment les logiciels malveillants susceptibles de compromettre les données, notamment les virus, les logiciels espions et les ransomwares.
- La gestion des correctifs permet de s’assurer que les logiciels, les systèmes d’exploitation et les applications disposent des derniers correctifs de sécurité. Des mises à jour régulières permettent de combler les failles et de protéger contre les cyberattaques potentielles.
- Les solutions d’effacement des données garantissent la suppression complète et sécurisée des données des dispositifs de stockage. L’effacement est particulièrement important lors de la mise hors service du matériel afin d’empêcher tout accès non autorisé à des informations sensibles.
- Les technologies d’archivage facilitent le stockage et la récupération systématiques des données historiques. L’archivage contribue à la conformité et aide les organisations à gérer efficacement les données, réduisant ainsi le risque de perte de données.
- Les outils de certification et d’audit aident les organisations à évaluer et à démontrer leur conformité avec les réglementations sectorielles et les politiques internes. Des audits réguliers permettent également de s’assurer que les mesures de protection des données sont effectivement mises en œuvre et maintenues.
- Les solutions de reprise après sinistre, telles que la DRaaS, rétablissent l’infrastructure informatique et les données à la suite d’un événement perturbateur. La reprise après sinistre comprend souvent une planification complète, des stratégies de sauvegarde des données et des mécanismes visant à minimiser les temps d’arrêt.
Protégez les données dans les clouds hybrides et simplifiez les exigences de conformité.
Protégez les données sensibles sur site et dans le cloud. IBM Security Guardium est une solution de protection des données qui s’adapte à l’évolution des menaces et offre une visibilité, une conformité et une protection accrues tout au long du cycle de vie des données.
Protégez vos données à l’échelle de l’entreprise. IBM Storage Protect est un logiciel de sauvegarde et de restauration des données.