GDPR et l’avenir de la sécurité des données : tout ce que vous devez savoir

Le rôle de l’informatique au sein des entreprises britanniques est en train de changer assez radicalement en ce moment, avec le prochain règlement général sur la protection des données (RGPD) introduisant des règles beaucoup plus strictes pour aider les responsables informatiques à contrôler, gérer et protéger les données de leur organisation.

Au fur et à mesure que les informaticiens s’occupaient de « choses » – du matériel clairement identifiable et stocké dans une salle informatique ou un centre de données – leur rôle s’est déplacé vers celui où ils sont devenus des gestionnaires de services tiers. Si vous souhaitez garder vos données un peu plus sûres, consultez ce centre de données, ou peut-être qu’un centre de colocation vous conviendrait mieux à l’ère du RGPD.

Le RGPD et l'avenir de la sécurité des données

Le taux d’accélération du changement dans l’industrie informatique continue d’augmenter et, à mesure que les entreprises s’appuient de plus en plus sur les services cloud, l’informatique, selon les mots du vice-président de la recherche de Gartner, David Cappuccio, « devient un intermédiaire et un facilitateur de services qui fournissent des gammes d’applications et Fonctions commerciales. « 

Hyperconvergence, le cloud et la fin du datacenter discret

Au début, l’informatique se composait de grandes boîtes blanches qui occupaient toute une salle informatique. Le responsable informatique pouvait entrer dans une salle informatique et voir immédiatement où se trouvaient toutes ses données et plates-formes.

Nous sommes ensuite passés à une « infrastructure convergée », où nous avons pris tout ce métal et l’avons converti en une plus petite pile de matériel. Ou ce que nous appelons « l’hyper-convergence », où chaque couche informatique et les éléments dont nous avons besoin pour fonctionner (comme les réseaux, le stockage et les ordinateurs en tant que service) sont regroupés dans une « boîte blanche ».

Ensuite, plus récemment, bien sûr, nous avons l’émergence du cloud computing, avec de nombreuses organisations d’aujourd’hui utilisant des logiciels basés sur le cloud pour les opérations quotidiennes.

Hood de Gartner note que les infrastructures définies par logiciel (SDI) changent la donne dans la façon dont I&O envisage la stratégie informatique globale, passant d’un modèle où les performances, le support et la disponibilité d’un centre de données discret étaient l’objectif, à un rôle où les applications et les données résideront et s’exécuteront à l’endroit le plus approprié pour l’entreprise, que ce soit sur site, dans un site d’hébergement ou de colocation, ou même fourni par un service cloud. »

Ainsi, ce que vous obtenez en tant qu’organisation est un groupe d’applications et de plates-formes au service de l’entreprise qui libèrent des données dans des « silos » (ou « îlots de données »). Il est révolu le temps où le service informatique pouvait entrer dans une pièce et voir physiquement la plate-forme de billetterie d’une entreprise, ou le stockage de données sur la paie ou quoi que ce soit d’autre…

L’essor de l’utilisation d’applications de productivité perturbatrices

L’informatique n’a plus le luxe de contrôler et de gérer des données géographiquement limitées, car tous ces magasins de données résident désormais dans des emplacements très différents. Tout cela signifie qu’il devient techniquement très, très difficile pour les organisations de gérer les données : parce que nous avons créé ces silos ou îlots de données grâce à des technologies perturbatrices et émergentes.

Ce qui aggrave la situation, en termes de contrôle des données – et quelque chose qui est le pire cauchemar de tout DSI – est le nombre et la diversité des employés utilisant des applications de productivité perturbatrices comme Dropbox, ce qu’il offre à l’utilisateur un référentiel de données sur votre appareil mobile et mais, plus important encore, il est également en dehors du champ de vision de l’informatique.

Cela signifie qu’ils sont en dehors du champ de vision de l’organisation. Et si vous gardez à l’esprit que 75 % de la main-d’œuvre est désormais mobile, que 81 % des employés accèdent aux documents de travail en déplacement et que 1,3 million d’appareils mobiles sont volés chaque année, les dangers des données potentielles et des violations de données agricoles pour les entreprises deviennent clairs. .

Et comme si cela ne suffisait pas, certaines statistiques récentes troublantes pour les DSI incluent le fait que 72 % des employés utilisent des services de partage de fichiers non autorisés au travail, tandis que l’utilisation des tablettes mobiles d’entreprise devrait tripler en trois ans.

Enfin, avec un ordinateur portable sur dix toujours volé ou perdu, il n’est pas surprenant que seulement 28 % des DSI estiment que leurs pratiques répondent aux exigences de conformité réglementaire, car ils ne pensent pas disposer des mécanismes et systèmes appropriés pour auditer leur propre organisation.

Alors, où vont ces données ?

Par données, nous nous référons à pratiquement toutes les informations, qui couvrent tout, y compris les informations personnellement identifiables, de vos informations fiscales personnelles à vos dossiers médicaux confidentiels.

La véritable croissance des données se situe dans le cloud et sur les terminaux (c’est-à-dire les appareils mobiles), dont la plupart sortent du cadre de la vision informatique. Avec des retombées pour les entreprises qui sont claires.

Les entreprises ont des tonnes de silos de données, mais pas de plate-forme unifiée ou de moyens pour contrôler et gérer ces données (car elles sont situées dans et dans plusieurs endroits différents). La législation au plus haut niveau ne change pas, mais comment l’organisation l’applique-t-elle à tous ces référentiels de données nouveaux et diversifiés ? Ou pour le dire différemment : comment une équipe informatique applique-t-elle la politique et la conformité réglementaire d’une organisation à tous ces différents silos de données ?

Une intégration de systèmes compliquée et de multiples systèmes fragmentés ne communiquant pas entre eux signifient des informations et des rapports médiocres, un risque accru de non-conformité et des frais généraux de gestion accrus.

C’est une situation classique de catch-22. Soit les organisations sont à risque de non-conformité, soit elles disposent d’une équipe exclusivement engagée pour gérer leurs obligations réglementaires ou de conformité de plus en plus complexes.

RGPD et bonnes pratiques organisationnelles pour la révolution des données

La seule façon de vraiment aborder ce marché émergent et la révolution des données est d’appliquer une couche logique – ou, si vous préférez, « un œil qui voit tout » – par-dessus. Celui qui a la capacité de chevaucher tous les silos, tous les référentiels et peut gérer ces données et appliquer la politique de l’entreprise et peut vous assurer de gérer tous vos actifs avec un minimum de frais généraux.

Le prochain RGPD, qui entrera en vigueur le 25 mai 2018, est de loin l’un des textes législatifs européens les plus importants jamais sortir, car l’étendue de l’application est tout simplement phénoménale.

C’est pourquoi le grand nombre de DSI et de PDG à qui nous parlons et qui n’ont même pas encore le RGPD sur leur radar est à la fois surprenant et alarmant. L’objectif de cette nouvelle réglementation est de pousser agressivement les organisations à prendre les mesures appropriées pour protéger les données qu’elles détiennent sur un individu.

Le message clé du RGPD est que les entreprises doivent rechercher les meilleurs moyens de créer de la confidentialité dès la conception dans leurs systèmes et infrastructures.

De nos jours, même lorsqu’une PME typique utilise Office 365, Salesforce et Skype Entreprise, chacun étant une application pouvant potentiellement contenir et transmettre des données, sont tous soumis à application.

L’importance de l’opt-in et de la transparence des données

Les services informatiques doivent complètement changer leur approche de la collecte de données. GDPR signifie qu’il devient essentiel pour les organisations d’expliquer pouquoi ils doivent collecter des données et avoir une plus grande transparence pour le traitement et la collecte des données.

Tout sujet obtient ainsi la possibilité d’accepter ou non, en plus du « droit à l’oubli ». De plus, les entités au-dessus du seuil de 250 employés devront bientôt nommer un délégué à la protection des données, une autre décision qui montre le sérieux et l’étendue du RGPD.

Dans l’ensemble, le RGPD vise à préparer l’entreprise à une gouvernance moderne de la protection des données. En ce qui concerne l’acceptation que des violations de données se produiront, ce qui est un problème malheureux que les services informatiques modernes ont besoin des bonnes stratégies pour détecter, contrôler, surveiller et enquêter au besoin.

Gagner en visibilité sur les données de votre organisation est un très bon point de départ, car une fois que vous comprenez vos actifs, vous savez ce que vous protégez.

« Vos données, votre problème », comme le disent les conditions générales de la plupart des principales applications et services basés sur le cloud. Et malheureusement, la gouvernance de l’information est très peu à l’ordre du jour pour trop d’organisations.

Le GDPR va changer tout cela, c’est pourquoi il est temps de reprendre le contrôle de vos données d’entreprise. Gagnez en visibilité, car il n’est pas bon d’avoir des informations organisationnelles dans la nature dont vous ne savez rien.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.