Anniversaire de la réglementation RGPD : quel est le bilan après 4 ans et comment respecter sa nouvelle évolution ?


Rédigé par Tony Fanni, Cohesity le 19 Mai 2022

Attendez-vous à une année d'amendes record. La Commission européenne a encore modernisé la réglementation sur la protection des données. Les nouvelles sanctions et le nombre croissant d'affaires depuis ces dix derniers mois révèlent que les entreprises peinent à suivre les réglementations autour du RGPD.



Tony Fanni – Senior Channel System Engineer SEMEA chez Cohesity
Cette tâche devient de plus en plus complexe du fait de la quantité exponentielle de données et les nouveaux textes de loi qui ne cessent d’être promulgués. Il est temps pour les entreprises de repenser leur gestion des données et d’en reprendre le contrôle pour éviter les risques et les amendes liées à la non-conformité.

Actuellement, 1,6 milliard d'euros d'amendes ont été émises depuis l'entrée en vigueur du règlement général sur la protection des données (RGPD) du 25 mai 2018. Et les amendes ne touchent pas uniquement les entreprises européennes. En effet, au cours des 12 derniers mois, les autorités ont infligé d'importantes pénalités à cinq entreprises américaines majeures de la tech. Ces cinq affaires majeures représentent à elles seules plus de 1,2 milliard de dollars d'amendes.

Le nombre de violations signalées a également augmenté plus rapidement que jamais, passant de 639 à 1037 au cours de la même période. Lorsque la loi fêtera son quatrième anniversaire le 25 mai, les autorités auront marqué une année record en termes de sanctions. Ceux qui s'attendaient à une interprétation plus laxiste des directives en raison de la pandémie ont eu une mauvaise surprise.

Le travail hybride pose de nouveaux risques
Avec le confinement lié au Covid, de nouvelles tendances ont émergé. L'accélération de la numérisation, associée à la pandémie et au travail à distance, a créé davantage de données sur davantage de supports. De nombreuses entreprises ne semblent plus en mesure de suivre cette explosion de données réparties en silos, d'autant plus que la réglementation change à nouveau rapidement.
En mars, Ursula von der Leyen, Présidente de la Commission européenne, et Joe Biden, Président des États-Unis, ont en effet annoncé conjointement qu'ils allaient également adopter de nouvelles réglementations pour le trafic transatlantique de données. On ne sait pas encore dans quels délais ce cadre transatlantique de protection des données, que certains appellent Privacy Shield 2.0, entrera en vigueur en tant que nouvelle base juridique. Mais cet ensemble de règles aura un nouvel impact sur la manière dont les entreprises internationales traitent leurs données, sur le transfert, le stockage et l’archivage des données personnelles. Et à peine un mois plus tôt, la Commission européenne présenté de nouvelles approches avec la loi sur les données pour réglementer le marché des données en Europe.

Vue déformée des données
De nombreuses entreprises ont réparti leurs données sur divers espaces de stockage et, comme le montrent les amendes, ont rencontré des difficultés à gérer correctement leur archipel d'îlots de données propriétaires et cloisonnés. Il ne fait aucun doute que les équipes informatiques consacrent beaucoup de temps et de ressources à résoudre les problèmes de gouvernance, d'archivage et de conformité. Cette image déformée entraîne un certain nombre de problèmes flagrants qui augmentent avec la quantité de données et le nombre de réglementations. Ainsi, il est presque impossible de voir si les données sont redondantes, si des données personnelles critiques sont stockées dans des espaces à risques, ou si elles ont été oubliées dans le plan de sauvegarde.

Une entreprise peut tenter de maîtriser ces îlots de données à l'aide de processus et de solutions ponctuelles, mais elle risque de se heurter à des coûts d'infrastructure et d'exploitation élevés, à un manque d'intégration entre les produits et à des architectures de plus en plus complexes. On peut aussi se demander si toutes les données sont protégées contre les ransomwares dans un environnement aussi fragmenté, et si des tâches importantes, telles que la récupération rapide, peuvent être mises en œuvre dans les délais et la qualité requis pour maintenir l’entreprise en activité.

Les entreprises doivent tenter de se détacher de cette vision en archipel et chercher une nouvelle approche de la gestion des données, qui leur permette d'améliorer leur conformité aux normes juridiques en vigueur, de faire progresser la sécurité de leurs bases de données, de supprimer les silos qui peuvent exister, et de réduire la complexité autour de la gouvernance des données.

1) Reconnaître l'accès et la valeur
Les entreprises doivent avoir une idée claire des données qu’elles possèdent et quelle valeur possède chaque donnée. A partir de ce moment seulement, peuvent-elles répondre aux questions de gouvernance et de conformité. Elles doivent également savoir clairement qui a accès à ces données. Par exemple, peuvent-elles détecter les utilisateurs qui ont un accès trop important aux données, ou peuvent-elles utiliser l’intelligence artificielle et/ou le machine learning pour identifier des modèles de sauvegarde ou d'accès inhabituels ? Ces indicateurs peuvent aider à identifier d'éventuelles attaques internes et externes, comme les ransomwares, à un stade précoce, ce qui permet de mettre en place des contre-mesures plus rapidement.

2) Avoir une vue d’ensemble des données
Idéalement, une interface protégée par une authentification multi-facteurs et une liste de contrôle d’accès permet d’accéder à ces fonctions ainsi qu’à une vue d'ensemble de l’écosystème des données – qu’elles soient stockées sur site, dans un cloud hybride ou dans un service SaaS.

3) Mettre en place une infrastructure résiliente et hautement évolutive
Les données elles-mêmes doivent être sauvegardées dans une plateforme de gestion des données de nouvelle génération, idéalement basée sur un système de fichiers hyperconvergé, qui peut facilement évoluer et va au-delà du modèle de sécurité Zero Trust. En plus des règles d'accès strictes et l'authentification multifactorielle déjà mentionnées, les entreprises devraient pouvoir utiliser des instantanés immuables, ce qui signifie qu'aucune application externe ou utilisateur non autorisé ne peut modifier les instantanés. Les organisations devraient également utiliser une technologie moderne de gestion des données capable de chiffrer ces dernières, tant pendant le transport qu'au repos, afin de renforcer encore la sécurité contre les cybermenaces telles que les ransomwares.

4) Disponible en tant que service
Aujourd'hui, beaucoup d’entreprises ne veulent plus gérer la totalité de leur infrastructure elles-mêmes, notamment parce que leurs équipes informatiques doivent se concentrer sur d'autres tâches essentielles à l'entreprise. Dans ce cas, elles pourraient envisager de faire appel à un fournisseur qui propose la gestion des données en tant que service (DMaaS). Ce portefeuille d'offres de "logiciel en tant que service" (SaaS) est conçu pour fournir aux entreprises et aux clients de taille moyenne une manière radicalement simple de sauvegarder, sécuriser, contrôler et analyser leurs données.

Perspectives
Les gouvernements vont certainement élaborer de nouvelles règles pour l'économie des données, car celle-ci joue un rôle majeur dans tous les secteurs de l'économie. Les équipes informatiques des entreprises devront donc continuer à réagir aux nouvelles réglementations. Pour sortir enfin du piège de la complexité, il faut consolider les silos qui se sont créés au sein d’une plateforme de gestion des données de nouvelle génération (qui inclut des fonctionnalités de protection et de récupération). Les organisations peuvent alors bénéficier d'effets de synergie, notamment d'une sécurité, d'une gouvernance et d'une conformité accrues, et de la possibilité d'économiser du temps et de l'argent.



Dans la même rubrique :