Sécurité et cloud : Ce sont aux métiers d'identifier les données critiques

La sécurité des informations stockées et traitées dans le cloud ne doit plus être sous la seule responsabilité des responsables de la sécurité informatique. Les directions métiers doivent aussi s'impliquer dans leur gestion.

En 2014, nous devrions logiquement voir de plus en plus d'entreprises -petites et grandes- se tourner vers l'utilisation de services cloud. Pour stocker, traiter des volumes de données de plus en plus importants, partager des applications, notamment pour les mobiles, le cloud a été conjugué à tous les temps. Rien que pour les applications de stockage de données au sein de services cloud (privé, public ou hybride) l'éditeur Symantec estime à 23% dans le monde (21 % en France) le nombre d'entreprises ayant retenu cette option en 2013.
Pour sa part, IDC prédit par la voix de son vice-président Raymond Boggs : « les gains continus de productivité au sein des PME constitueront les moteurs d’une adoption en masse de la mobilité et du Cloud. Aux Etats-Unis, un tiers des PME et presque trois-quart des entreprise de taille intermédiaire utilisent déjà le Cloud. Et cette proportion continue d’augmenter ». Reste que cette tendance à migrer vers les services Cloud plus agiles et plus économiques doit s'effectuer selon des règles strictes, des bonnes pratiques que toutes les entreprises doivent appréhender.
Certaines données ne doivent pas quitter le périmètre de l'entreprise

Parmi ces régles de sécurité inhérentes au Cloud figurent la disponibilité et la continuité des données, leur localisation, leurs propriétés, leur confidentialité, etc. Mais la première d'entre-elles touche à l'évaluation des risques liés aux données. Une évaluation qui doit se faire par une approche métier.
Autrement dit, chaque métier de l'entreprise doit identifier les données stratégiques. Pourquoi ? Parce que l'ADN de chaque entreprise réside dans son patrimoine informationnel, c'est-à-dire les données qu'elles possèdent et exploitent. Hors toutes les données ne sont pas critiques pour une entreprise. Certaines ne sont plus ou pas utilisées tandis qe d'autres ne doivent pas « quitter » le périmètre de l'entreprise.
Cette priorisation liée à l'usage et à la valeur à un instant «t» des données nécessite une implication des métiers, seuls a disposer de cette « culture de la connaissance de la donnée » avec les département sécurité, risques et juridiques. Cette culture de la donnée implique également des prises de décisions de type gestion de la donnée au sens disparition, indisponibilité, archivage....

Jean-Philippe Bichard
Source