Alors que tout le monde s'accorde à reconnaître le caractère éminemment stratégique de l'information, les entreprises peinent à protéger correctement et durablement leurs données tout en facilitant leur circulation dans et hors de l'entreprise. Un paradoxe difficile à résoudre sans stratégie pérenne et un partenaire fiable.

Agilité de l'entreprise ou conformité ?

Selon l'étude Forrester, l'agilité métier et la capacité du système d'information à faciliter le travail des collaborateurs tant au bureau qu'à l'extérieur, et la collaboration dans l'entreprise ou avec des partenaires, forment la première préoccupation des entreprises nord américaines en matière de sécurité. La conformité aux exigences réglementaires occupe le deuxième rang (cf. graphique). En effet, 55% des entreprises interrogées considèrent être en conformité avec les exigences réglementaires sur le plan de la sécurité. Il est à noter que seulement 22% du total des entreprises interrogées se disent conformes et satisfaites des solutions mises en oeuvre pour atteindre cette conformité.

"Les entreprises sont confrontées à un véritable "dilemme" pour répondre à des obligations réglementaires pointues et à des problèmes urgents, tout en mettant en oeuvre une stratégie globale et pérenne de prévention des pertes de données. Malheureusement, les solutions ponctuelles déployées aujourd'hui complexifient et compromettent bien trop souvent les efforts qui seront mis en oeuvre à long terme," explique Dennis Hoffman, Vice-président et Directeur général du groupe Data Security, et Directeur de la strastratégie de RSA, La Division Sécurité d'EMC.

"Notre étude démontre que la sécurisation des données est désormais un processus à part entière de gestion des informations qui ne peut pas être traité efficacement seulement en mode projet ou avec des produits cloisonnés. Toutes les données doivent être préalablement identifiées et classées ; différents contrôles doivent être appliqués pour prévenir les pertes, et enfin, la gestion de ces contrôles à l'échelle de l'entreprisedoit être la plus efficace possible".

Une stratégie en 3 phases

Phase 1 : la connaissance

Une bonne stratégie de protection commence par la classification des actifs à protéger, en l'occurrence les données de l'entreprise. Cette première phase consiste concrètement à recenser les données, déterminer leur degré d'importance (sensibilité) et leur localisation dans l'entreprise. Cette opération préalable est essentielle pour définir les grands principes de la stratégie de sécurité et pour réduire les coûts en hiérarchisant la sécurisation des domaines les plus stratégiques. Cette phase cruciale est connue des sociétés. 52 % des entreprises sondées citent la classification des données parmi leurs toutes premières priorités. Cependant, 33 % ne disposent d'aucune politique formalisée en la matière.

Phase 2 : contrôler

Une fois les données recensées et classées par degré de "sensibilité", il est possible de mettre en oeuvre les contrôles et mesures appropriés à une véritable politique de sécurité. Le cryptage est aujourd'hui majoritairement utilisé comme technologie de contrôle de facto pour répondre aux exigences de sécurisation des données :

• 62 % des sondés ont l'intention d'étendre leurs déploiements de technologies de cryptage
• 50 % des répondants ont l'intention d'augmenter leurs investissements dans les technologies de prévention des fuites d'information (outils de filtrage ou de découverte de fuite).

Cependant, 62 % de ces mêmes entreprises ne disposent d'aucune politique ni stratégie de cryptage – ou la qualifient elles-mêmes d'incomplète car couvrant alternativement les données "au repos" ou en transit, mais pas les deux. Une stratégie couvrant tous les aspects de sécurisation des données exige une approche globale d'entreprise. L'étude révèle pourtant que 78 % des répondants n'abordent toujours pas les contrôles de cryptage selon cette perspective et se focalisent sur des enjeux tactiques contribuant à faire progresser les coûts de déploiement et de gestion des contrôles par cryptage. Enfin, ces stratégies de contrôle sont le plus souvent dictées par des exigences de conformité réglementaire. Les priorités de mises en oeuvre et de domaines à couvrir sont donc conditionnées par ces exigences.

Phase 3 : simplifier le contrôle des données

L'étude révèle également que le tout premier vecteur d'augmentation des coûts et du médiocre retour sur investissement des solutions de cryptage reste l'absence de système global de gestion des clés. Selon les personnes interrogées, les trois premières difficultésopérationnelles liées au cryptage concernent la gestion des clés. Pour plus de la moitié d'entre elles, ces problèmes ont un impact direct sur le fonctionnement opérationnel de l'entreprise. La plupart des entreprises sondées (53 %) utilisent toujours des processus manuels pour gérer les clés.

Les recommandations de RSA Security

les entreprises doivent définir une véritable stratégie de gouvernance de la protection de leurs données, inscrite au coeur d'une stratégie plus générale.

Les organisations évoluent, les risques sécuritaires aussi. Cette gouvernance de la protection des données repose sur l'implication de multiples acteurs dans l'entreprise : gestionnaires de domaines, concepteurs de données, responsables du stockage, etc., pour concevoir et revoir en permanence une politique générale de sécurité, d'accessibilité et de disponibilité des données. Mais avant tout, il est indispensable de cartographier l'état réel de la situation pour recenser les domaines déjà couverts par des outils de cryptage, de protection et de suivi des données. Cette cartographie doit aussi faire ressortir les zones sensibles où les données sont encore peu ou mal sécurisées. Il est alors possible de définir un plan d'action focalisé sur la sécurisation des processus métiers critiques en commençant par ceux qui sont le mieux définis et limités à un nombre restreint d'intervenants. Enfin, il est indispensable de définir une stratégie d'approvisionnement reposant sur le choix d'un fournisseur capable de répondre autant aux besoins ponctuels qu'aux exigences stratégiques. Le plus souvent, les entreprises réagissent dans l'urgence pour "colmater" des brèches ponctuelles. Il est pourtant indispensable d'adopter une hauteur de vue plus stratégique pour développer dans le temps une approche globale. Le choix d'un fournisseur partenaire est alors fondamental afin de disposer d'outils cohérents et interopérables capables de répondre autant aux besoins ponctuels que de développer une vision stratégique de la protection des données de l'entreprise.

Méthodologie

En avril 2007, RSA mandatait le groupe Forrester Consulting pour sonder en ligne des entreprises Nord-Américaines sur leurs priorités et activités de protection des données. Parmi les entreprises sondées, 20 % emploient entre 5 000 et 20 000 personnes ; 21 % plus de 20 000. 29 % réalisent un chiffre d'affaires de 1 à 10 milliards de dollars ; 17 % supérieur à 10 milliards. Toutes les personnes interrogées utilisent une technologie de cryptage dans leur entreprise et sont impliquées dans la politique de cryptage de celle-ci. Pour la moitié d'entre elles environ, elles occupent des fonctions de Directeur de la Sécurité, Responsable de la Sécurité des Systèmes d'Information, Directeur des Technologies de l'Information, Directeur Informatique ou Vice-Président des Systèmes d'Information.

» Consulter l'étude Forrester Consulting "État de la protection des données en Amérique du Nord"