La gestion de la protection des données est plus qu'un défi technologique

La quantité de données produites par la société a explosé au fil des ans et a été multipliée par 30 au cours de la dernière décennie¹. Cela pose un défi à de nombreuses organisations : avec la transition numérique, elles ont numérisé beaucoup d'informations, dont la sécurité est désormais un élément important. Tous les secteurs d'activité peuvent être touchés, notamment les entreprises technologiques, comme les licornes, dont l'organisation est centrée sur le numérique. Le développement d'applications, par exemple, implique généralement la collecte, le stockage et la gestion d'un grand nombre de données sur les utilisateurs.
Une mauvaise gestion de ces données peut avoir de graves conséquences pour une entreprise, qui est exposée à plusieurs types de risques : pannes, accidents, actes de malveillance, piratage, espionnage, etc. Selon les cas, un incident peut avoir des conséquences diverses, de la perte de données à l'accès non autorisé à des informations confidentielles. Ces événements ont un impact financier direct, mais aussi un impact sur la réputation des clients et des partenaires.
En outre, la loi impose certaines contraintes en matière de gestion des données, notamment le règlement général sur la protection des données (RGPD). Le non-respect de ces contraintes peut coûter cher : les amendes peuvent atteindre 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial de la société mère. Si ces risques et obligations peuvent être perçus comme des contraintes, ils peuvent aussi être le moteur d'une approche efficace de la gestion des données. Cette question n'est pas seulement technique et ne se limite pas au département informatique. Il s'agit d'une réflexion générale, en vue de mettre en place de bonnes pratiques qui ont un impact positif sur l'ensemble de l'entreprise. Cela se traduit par une amélioration de la confiance, favorisant le développement et l'innovation.

Repenser la gestion de données

De nombreuses solutions matérielles et logicielles contribuent à sécuriser les données des entreprises. Cependant, celles-ci ne peuvent être efficaces que si le problème est bien compris par les différents acteurs et si elles génèrent des actions globales. Il s'agit de comprendre et de repenser la gestion par l'entreprise de ses données. Comment sont-elles collectées ? Comment sont-elles traitées ? Où sont-elles stockées ? Il est important d'avoir cette vue d'ensemble. Si la tâche semble complexe, les organisations peuvent demander l'aide de consultants spécialisés. Ceux-ci sont en mesure d'analyser la situation et d'identifier les changements à apporter.
Cette phase d'analyse permet ensuite de mettre en place des procédures pour chaque étape du cycle de vie des données et pour les différents cas qui peuvent se présenter. Quels sont les risques ? Comment les organisations peuvent-elles identifier rapidement un incident ? Quelles sont les mesures à prendre pour le signaler, puis pour le traiter efficacement ? Toutes les personnes impliquées à chaque étape du cycle de vie des données doivent être sensibilisées à ces questions et formées pour appliquer les procédures appropriées. La mise en place de ce mode de gestion a un impact positif sur la gestion des données, mais aussi pour l'entreprise. Il permet de gagner en efficacité et de s'inscrire dans une démarche d'amélioration continue.

S'appuyer sur les normes

Face à cette transformation, les entreprises ne partent pas de zéro. En effet, la norme ISO/IEC 27001 leur fournit un cadre pour la mise en œuvre de ces bonnes pratiques en matière de gestion des données. En fonction des besoins, d'autres normes, dérivées de celle-ci, peuvent guider la démarche. La norme ISO/IEC 27701 Privacy Information Management, par exemple, comprend des spécificités liées à la gestion des données personnelles.
Lorsque le processus est suffisamment mature, les entreprises peuvent demander à être certifiées selon ces normes. Un organisme de certification, tel que BSI, évalue alors de manière indépendante les pratiques de l'organisation. Les entreprises certifiées ont constaté une réduction de plus de 51,5 % des incidents de sécurité². La certification peut également démontrer un engagement envers une bonne gestion des données. 60 % des entreprises concernées déclarent que l'adoption de cette norme a renforcé la confiance des clients³. En conséquence, 56 % d'entre elles voient leur capacité à répondre aux appels d'offres augmenter, et 62 % constatent un accroissement de leur compétitivité. Les entreprises ont donc tout à gagner à améliorer leurs procédures de gestion des données.