Les données : une valeur à protéger à l’aide du chiffrement
Culture tech.
Les données, ce trésor caché de l’entreprise.
Bien que cela ne figure pas (encore) au bilan de l’entreprise, les données collectées et enregistrées constituent une valeur très importante, qui doit être protégée. Pour s’en convaincre, il suffit de regarder la convoitise qu’elles suscitent. Il est alors nécessaire de gérer au plus près l’accès à ces données et le droit de les déchiffrer.
Une donnée : c’est quoi ?
Pour appréhender la valeur des données, il faut s’entendre sur ce qui constitue une donnée.
La réponse est simple : tout.
Toute information (personnelle ou corporate) qui transite par un système de communication est un maillon de la chaîne de data : contacts commerciaux, technologie, veille stratégique… La donnée fait partie de la valeur de l’entreprise.
Ce capital “données” doit être géré et protégé contre les tentatives de vol, de revente aux concurrents, ou de divulgation publique. Tout manquement à la sécurité des données est synonyme de préjudice financier, et d’atteinte à l’image de marque de l’organisation.
Où se trouvent les données ?
Disséminées et très volumineuses, les données sont omniprésentes : chaque action génère des données parfois sensibles. Chaque mail, chaque fichier en contient. Elles sont partout.
Depuis quelques années, nous assistons à une inflation démesurée du volume des données. Les serveurs et les postes de travail d’une entreprise constituent une véritable galaxie.
Il devient donc de plus en plus complexe de surveiller l’accès à ce trésor que constituent les données.
Quelle est la valeur d’une donnée ?
« Depuis toujours, être informé le premier a été un avantage décisif, que ce soit en politique ou à la guerre. Évidemment, plus l’information est pertinente en rapport du contexte et plus l’avantage de celui qui la détient est poussé. À notre époque c’est toujours vrai dans ces domaines, d’autant plus que le temps de validité de l’information s’est considérablement raccourci, ce qui était pertinent la veille ne l’est plus forcément le lendemain. » (Wikipedia)
Alors, combien vaut une donnée ? Cela va dépendre de la nature de cette donnée :
- Données portant sur les transactions commerciales : sa valeur réside dans son utilisation actuelle et future.
- Données portant sur les informations de marché, la veille technologique ou concurrentielle : la valorisation de la donnée est alors dans la prise de décision.
- Données personnelles : protégées par la loi, elles s’échangent pour des dizaines d’euros sur le darkweb. Elles se traduisent donc directement en valeur financière.
On aborde ici les valeurs les plus évidentes. Les chercheurs en big data, qui utilisent des données pour alimenter une intelligence artificielle vont, par cumul, croisement et extrapolation, leur octroyer d’autant plus d’importance.
En quoi les données constituent-elles un capital pour l’entreprise ?
Pour se convaincre de la valeur de ce capital “données”, on peut procéder de la manière suivante : si on le perd, que se passe-t-il ?
En cas de perte des données les plus confidentielles de l’entreprise (ou de perte de l’accès à ces données), les préjudices sont multiples.
Le premier est l’impossibilité de travailler – au moins jusqu’à la restauration des sauvegardes. Si ces dernières sont inutilisables ou trop longues à mettre en œuvre, l’entreprise n’aura d’autres solutions que de déposer le bilan.
Une autre conséquence ? L’image de marque et la crédibilité de l’entreprise seront fortement entachées. Sans compter les poursuites pénales si des informations sensibles ont fuité.
Perdre l’accès au capital-données est souvent involontaire (vol d’un terminal, attaque informatique, etc.), mais parfois orchestré par des tiers malveillants : ancien collaborateur, pirates informatiques, concurrents hostiles voire gouvernements étrangers, contre lesquels il est nécessaire de protéger ses données.
L’espionnage économique est une réalité mal connue : dans ce monde par définition discret, de nombreuses affaires n’arrivent pas aux oreilles du grand public. La valeur des données est cruciale : ce qui compte vraiment n’est pas tant la valeur que l’entreprise elle-même lui accorde que celle que ses concurrents ou tiers lui donnent.
Protéger la donnée : comment faire avec le chiffrement ?
De nombreuses solutions de sécurité existent, protégeant les accès et l’exfiltration des données. Cependant, de nouvelles vulnérabilités de logiciels étant découvertes chaque jour, la solution la plus efficace est de protéger toute donnée par défaut, en son cœur même.
Le vol ou piratage n’étant jamais exclu, il convient de rendre les données inutilisables à mauvais escient. Le chiffrement systématique s’impose comme la solution. On gère non pas l’accès à la donnée, mais le droit de la comprendre et de l’utiliser.
Une solution de chiffrement doit être globale et de bout-en-bout, et surtout transparente (l’utilisateur ne s’aperçoit pas que son contenu est chiffré et ses habitudes de travail ne sont pas modifiées).
Ce véritable parafoudre numérique ne protège pas contre la malveillance, mais empêche l’exploitation du contenu. Il permet que les données dorment à l’abri.
On pourrait faire le parallèle avec la protection des billets de banque stockés dans les distributeurs automatiques : si le DAB est forcé ou son coffre ouvert par des voleurs, une dose d’encre indélébile est projetée sur les réserves de billets et les macule, les rendant inutilisables.
En matière de données, il s‘agit de prendre exemple sur ce principe en les rendant inutilisables en cas de vol : c’est-à-dire faire en sorte que, même s’il y a fuite de donnée malencontreuse ou malveillante, personne d’autre ne puisse la lire, la comprendre et encore moins l’utiliser.
Les données que nous possédons constituent un capital de grande valeur, à protéger des risques de vol, de divulgation… Il est parfois difficile de classifier l’information : de “peu sensible” à “stratégique”, et imaginer la valeur d’une donnée est ardu : il faut anticiper le coût de remplacement, le coût de divulgation, etc. En clair, ce n’est pas la valeur qu’on leur accorde qui compte, mais plutôt celle qu’un attaquant lui donne.
Alors, quoi de plus simple que d’adopter un principe global : “Encrypt everything, everywhere, everytime” autrement dit, tout chiffrer, partout, tout le temps. Inutilisable par autrui, la donnée n’aura de valeur que pour vous et vous seul.