![[Blancco] Le casse-tête de la gestion de données en fin de vie dans le cloud](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-1920x735.jpeg)
Blancco Le casse-tête de la gestion de données en fin de vie dans le cloud
![Image DSA : [Shein] ajoutée à la liste des « très grandes plateformes »](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-885x690.jpeg)
![Image [Forum InCyber 2024] Intelligence artificielle & arnaques numériques : sommes-nous condamnés à se faire avoir ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-885x690.jpg)
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
Les entreprises négligent encore trop souvent la gestion des données en fin de vie, malgré les risques juridiques et sécuritaires que cela représente. L’adoption massive du cloud vient encore compliquer la donne, constate Blancco dans une récente étude. Spécialiste de la gestion des données en fin de vie, la société éditrice en solutions d’effacement sécurisé propose des pistes pour assainir cette situation.
Quand on parle de cybersécurité, on pense à protéger ses données, pas toujours à les gérer. Se faire pirater est un danger mais ne pas connaître la teneur de ses données, leur emplacement ou les droits d’accès qui y sont associés en sont d’autres, potentiellement tout aussi graves. Autant de questions qui peuvent se résumer à une seule : dois-je détruire telle ou telle donnée et si oui, quand et comment ?
En effet, plus on stocke d’informations, plus on augmente sa surface d’attaque, sa responsabilité juridique en cas de fuite et la probabilité d’être en infraction vis-à-vis des lois protégeant les données privées, sans même parler des coûts de gestion et de stockage. Pourquoi dès lors courir des risques pour des données inutiles à un titre ou à un autre ?
Ces enjeux deviennent de plus en plus complexes à mesure que les entreprises migrent leurs données vers le cloud, souligne Blancco dans une étude publiée en mars 2023, intitulée « Données stockées à distance, comment la migration vers le cloud affecte la classification, la minimisation et l’élimination des données ». Spécialisée dans la gestion des données en fin de vie, la société s’est penchée sur l’impact du cloud dans cette problématique.
Elle s’est intéressée à deux secteurs où les contraintes sur la data sont particulièrement fortes : la santé et la finance. Étant donné la nature extrêmement confidentielle des informations traitées et du fait des enjeux – notamment pécuniaires – qu’elles représentent, le cadre légal et réglementaire qui les régit est particulièrement sévère.
Le cloud, solution… Et cause de l’inflation de données
Blancco considère à ce titre qu’elles représentent l’état de l’art en matière de gestion de données en fin de vie. Au total, pas moins de 1 800 décideurs impliqués dans cette problématique ont été interrogés dans six pays : États-Unis, Canada, Royaume-Uni, France, Allemagne et Japon. Ils se répartissent à égalité entre professionnels de santé et de la finance.
Facile d’accès et peu onéreux, le stockage dans le nuage est plébiscité : 51% des structures interrogées ont déjà intégralement migré vers le cloud, 11% envisagent de le faire et 37% y hébergent une partie de leurs data. L’un des corollaires de cet engouement est qu’il a eu pour effet d’augmenter le volume de données de 69% des entreprises, révèle Blancco dans son étude.
Une inflation de données qui rend souvent leur gestion plus délicate et percute de front l’objectif de réduire le volume de données pour en assurer une saine gestion. Un mouvement qui va de pair avec la numérisation des processus, qui simplifie la collecte et le traitement des données. En même temps, « 65 % des personnes interrogées ont déclaré que le passage de l’analogique au numérique avait augmenté la quantité de données redondantes, obsolètes ou triviales (ROT) collectées, traitées et stockées ». Voilà qui pousse près des deux tiers des répondants à vouloir reconsidérer la manière dont ils évaluent les data à sortir de leurs bases.
La marge de progression est importante en la matière, constate Blancco, pour qui chaque entreprise doit avoir un système de classement de données performant, être capable de réduire son volume de données et d’effacer définitivement les données en fin de vie.
Le poids des contraintes légales et réglementaires
Or à peine plus de la moitié des entreprises ont un système de classification mature et une même proportion se contente d’une suppression basique des données en fin de vieen lieu et place d’une destruction certifiée, avec traçabilité, qui offre toutes les garanties techniques et légales. De plus, 28% des personnes interrogées se contentent de définir un calendrier de durée de vie des données, qui définit le moment de leur destruction.
Problème : cette solution, simple en apparence, manque de finesse et ne prend en général pas en compte les nombreuses législations qui régissent le secteur : le RGPD et plus récemment le California Privacy Rights Act, pour n’en citer que deux. Chaque pays a la sienne sans parler des réglementations sectorielles. D’où l’importance d’une classification performante.
Le cloud n’aide apparemment pas dans ces démarches, puisque 65% des entreprises estiment qu’elles sont plus faciles à réaliser sur site. De fait, contrairement à ce que croient 24% des participants à l’enquête, la migration vers le cloud ne fluidifie pas la gestion des données en fin de vie.
Au contraire, elle présente « également certains défis en matière de gouvernance des données, notamment des obstacles affectant la manière de détruire efficacement et de manière conforme les données des utilisateurs du cloud en cas de besoin, tout en générant la preuve que cela a été fait », souligne Blancco.
Destruction dans le cloud, finesse requise
Une preuve que ne procurent pas forcément les prestataires de stockage à distance. 65% des responsables interrogés par Blancco estiment pourtant pouvoir faire « confiance à [leur] fournisseur de cloud public pour gérer de manière appropriée les données en fin de vie » en leur nom, ce qui laisse 35% de sceptiques. Des doutes qui révèlent surtout le manque de connaissances des clients des mesures effectivement prises par leurs fournisseurs pour gérer la question.
Et de fait, si les acteurs du cloud mentionnent en général les prestations de destruction de données dans leurs contrats, il ne s’agit pas forcément de processus répondant aux meilleures normes. En la matière, le standard de facto est la norme américaine US NIST 800-88. Elle prévoit l’écrasement des données à de multiples reprises par des séquences aléatoires de chiffres, mais aussi la vérification et la certification de cet effacement. Elle préconise également la vérification et la certification de l’effacement cryptographique.
Des méthodes adaptées à l’effacement sécurisé en environnement cloud. En effet, qu’il s’agisse d’un cloud privé dont les serveurs peuvent être difficilement accessibles ou à plus forte raison d’un cloud public, la destruction physique n’est pas la solution. Dans l’environnement physique complexe du cloud, l’effacement cryptographique représente l’une des meilleures garanties : les fichiers sont encryptés, leur clé de déchiffrage détruite, rendant impossible leur récupération. Le tout avec un suivi de près et documenté. La meilleure garantie étant d’effacer la clé de cryptage et les données cryptées.
Santé et finance peuvent mieux faire
« La traçabilité qui en résulte est importante pour garantir la responsabilité lors de la destruction des informations. Elle prouve que les données ont été complètement effacées à des fins de conformité, fournit une défense juridique en cas de violation, établit que la chaîne de traçabilité a été préservée, et plus encore », insiste Blancco.
À ce propos, l’enquête de Blancco donne des résultats en demi-teinte, puisque 63% des répondants déclarent employer l’effacement logiciel des données avec traçabilité pour assurer la destruction de leurs données en fin de vie. Le résultat, encourageant, pourrait être considéré comme excellent si l’étude ne portait pas sur la finance et la santé, deux secteurs qui devraient être irréprochables sur ce plan au vu de leurs contraintes réglementaires.
Autre axe d’amélioration que souligne l’étude : 22% des participants disposent d’un journal d’audit, mais non certifié, « ce qui est proche des bonnes pratiques, mais expose néanmoins les organisations exposées à une représentation erronée ou à un manque de confiance dans le registre des données ». De plus, 59% des responsables avouent utiliser une simple suppression de données au moins une partie du temps.
Supprimer n’est pas effacer
Logiquement, l’étude conclut par la nécessité d’implémenter et de respecter les bonnes pratiques que préconise Blancco :
- Une classification en continu des données existantes et générées par l’entreprise afin de connaître en temps réel le stock de données et la durée de vie associée à chacune d’entre elles. Ceci permet de savoir quelles données détruire et quand le faire, dans le respect des lois et règlements relatifs à chaque type de data ;
- Détruire les données en fin de vie, en utilisant les meilleures techniques en fonction de l’environnement d’hébergement. Dans le cloud, Blancco penche pour l’effacement cryptographique ;
- Documenter l’effacement des données afin d’être en permanence en mesure de prouver que vous avez fait le nécessaire pour être en conformité avec les contraintes juridiques.
Pour parvenir à ces objectifs, il est en général nécessaire de procéder à un audit et une révision de ses processes internes. Mais aussi d’interroger ses fournisseurs cloud pour savoir s’ils sont en mesure de se conformer à vos nouveaux niveaux d’exigence.