Sécurité des données: quels risques lors du passage au cloud?

04.07.2022 // Sacha Briggen

Cela semble un peu banal, mais les données sont le nouveau pétrole. Il est donc plus qu’étonnant de les traiter comme si elles ne risquaient rien.  Les PME ont pourtant beaucoup à perdre.

Vous est-il déjà arrivé de perdre des données dans un cloud ?  

Je suis un sportif amateur passionné. Je fais donc probablement partie de ce genre de personnes qui sont déjà à la salle de gym à 6h30 du matin, alors que d’autres se retournent encore une fois dans leur lit. Convaincu que de meilleures données, si elles sont utilisées correctement, permettent de prendre de meilleures décisions, je tiens un journal numérique de mon entraînement. Pendant des années, j’ai été un utilisateur enthousiaste de Runtastic. Il y avait une application pour chaque objectif : une pour le vélo de course, une pour le VTT. L’application de jogging comprenait également une fonction permettant de surveiller mes progrès en ski de fond. Cette gamme de produits était complétée par ce que je considère comme une solution web attrayante. Le rapport qualité prix était fabuleux. Était. Car ensuite, la vente a eu lieu. Adidas s’est emparé de cette jeune entreprise à succès : pour les investisseurs, c’est certainement une affaire en or. Pour l’acquéreur, une tentative payante de remédier à son propre échec à créer un écosystème numérique. Une situation gagnant-gagnant classique. Sauf pour moi. Effectivement, Adidas a pris la décision stratégique de se concentrer à l’avenir plus que sur les joggeurs.

Avec cette nouvelle orientation, la maintenance des apps qui me concernaient a été supprimée. Pire encore : la solution web a été complètement mise hors service. Et ce, avec un délai de préavis d’une bonne semaine. Dès le jour X, il n’était plus possible d’y accéder. Fini, terminé. Ceux qui ont été assez rapides ont tout de même pu exporter leurs données dans un fichier CSV (Comma-Separated Values) en espérant pouvoir les réimporter un jour quelque part ailleurs. Oui, je suis un sportif amateur avec des ambitions. Cette expérience ne rien de plus qu’une histoire contrariante, qui peut tout au plus être ressortie lorsque les sujets de conversation sont épuisés dans un cercle illustre. Ce n’est donc pas réellement un événement dramatique. Mais, que se passerait-il si un scénario similaire se produisait avec mes propres données d’entreprise, essentielles à ma survie ?

Datensicherheit Cloud

Connaissez-vous la valeur des données de votre entreprise ?  

Soudain, plus d’accès aux données importantes de l’entreprise dans le cloud.  Un cauchemar absolu. Toutes les opportunités de vente, les données contractuelles, les commandes et factures en cours, les tickets de support, les prestations fournies, etc. se trouvent tout au plus dans une structure CSV plate. Pour autant qu’une exportation était encore possible avant le shutdown. Comment puis-je retrouver la documentation des discussions avec les clients, à leur environnement système et à toutes les connaissances acquises à travers les cas de support ? Cela peut paraître banal, mais les données sont effectivement le nouvel or. Même si l’on ne dispose « que » des siennes et non de celles de la moitié du monde comme Google, Facebook ou Amazon. Le sujet est généralement évoqué lorsqu’il s’agit de savoir ce que ces entreprises comptent faire de mes données personnelles, une question importante et souvent négligée. Les données de mon entreprise représentent pour moi la moitié de mon monde – voire plus.

Combien de temps votre entreprise survivrait-elle sans ses données ?  

Revenons au pire scénario de panne totale. Si vous n’avez jamais vu de fichier CSV, je vous conseille d’effectuer vous-même une exportation à partir d’une solution web que vous utilisez. La plupart d’entre elles proposent une telle fonction et le fichier peut être facilement ouvert dans Excel. Lorsque vous avez quelques dizaines de milliers d’entrées réparties dans différents tableaux, cela devient très compliqué. Toute la logique du programme de votre ancienne solution a disparu — vous ne voyez plus que des données, des données et encore des données. Et même une petite entreprise se retrouve rapidement avec des dizaines de milliers d’entrées. La bonne nouvelle, c’est que la plupart de ces données peuvent être réimportées dans un système cible. Peut-être que l’une ou l’autre information utile, mais pas forcément nécessaire, sera perdue. Vous pourriez vivre avec cela. Ce qui est pire, c’est qu’il vous faudra du temps. ET le temps nécessaire dépend de différents facteurs.

Une chose est sûre : vous devez d’abord évaluer une nouvelle solution. Le fournisseur doit analyser vos données et probablement écrire l’un ou l’autre script de migration. Ensuite, vous devez vérifier la migration, ce qui peut prendre du temps selon la quantité de données. Mais, il vaut la peine de vérifier si tous les contrats ou abonnements ont été transférés aux bons clients. Après tout, vous ne voulez pas vous rendre compte, au moment d’établir une offre urgente, que votre structure d’articles a été déchirée et que les rabais ne sont plus correctement attribués . En un clin d’œil, quelques semaines se sont écoulées avant que vous ne puissiez de nouveau travailler plus ou moins comme d’habitude et servir vos clients.
Mon passé au sein d’une grande banque suisse m’a appris qu’en cas de panne totale du mainframe, la durée de survie aurait été de quelques jours à l’époque. Aujourd’hui, ce serait probablement quelques heures. En revanche, les systèmes sont plus répartis et la probabilité d’une panne totale est plus faible. Mais, cela n’a pas d’importance. Ce qui est clair, c’est que si les systèmes ne deviennent pas immédiatement à nouveau disponibles, la banque ne peut plus faire face à ses obligations et fait faillite. Du point de vue économique, il s’agit d’un problème d’importance systémique qui fait donc l’objet d’une réglementation minutieuse. La plupart des PME ne font pas d’opérations à terme sur le marché monétaire, et si elles en font, ce n’est pas dans des proportions comparables. À quoi cela ressemblerait-il dans mon entreprise ? Quelles sont en fait nos réserves de liquidités pour faire face à une interruption du processus de facturation ? Quelle est la probabilité que demain nous ne puissions plus accéder à des données importantes ?

CONSEIL : Comment appliquer correctement un processus de gestion des risques

Comment gérer les risques lorsque l’on passe au cloud ? Il vaut la peine de suivre le processus classique de gestion des risques :

  1. Identifier les risques
  2. Évaluer les dimensions des risques
  3. Définir et mettre en œuvre des mesures

Les solutions cloud comportent des risques, notamment en matière de protection et de sécurité des données. En ce qui concerne la sécurité des données, qui a pour objectif de protéger techniquement les données contre la perte, la modification ou d’autres menaces, il faut également tenir compte du risque de défaillance commerciale du fournisseur.

Lors de l’évaluation des risques, on répond à la question de savoir quelle est la probabilité d’occurrence du risque et quelles seraient les conséquences en cas de survenance. Même si la probabilité est faible, les risques dont les répercussions s’avéreraient fatales puis menaceraient l’existence même de l’entreprise nécessitent une grande attention.

Les mesures doivent, dans la mesure du possible, réduire la probabilité d’occurrence. Souvent, cela n’est possible que de manière limitée, et il s’agit de réduire la portée des conséquences. En particulier, des exportations régulières et automatiques, idéalement structurées à un niveau plus élevé (par exemple, sous forme de base de données), et un plan organisationnel sur la manière de procéder en cas de défaillance.

Vive la gestion des risques

Cet article n’est pas un plaidoyer contre les solutions cloud. Celles-ci offrent de très nombreux avantages et s’imposeront à long terme.  Si un éditeur de logiciels ne rend pas sa solution compatible avec le cloud dans les années à venir, il n’aura pas d’avenir. Il en va de même pour nous. Voilà pourquoi nous investissons beaucoup de ressources et de cœur dans ce sujet. Cet article est plutôt un vote en faveur de la gestion des risques dans les PME. Par ailleurs, je suis continuellement étonné de voir avec quelle insouciance les PME prennent leurs décisions en matière de données. Rares sont ceux qui s’interrogent sur ce qui se passerait, si le fournisseur devait déposer le bilan ou si, pour d’autres raisons, le système devait subir une panne prolongée. Avoir un plan clair pour de telles situations peut être décisif pour la survie d’une entreprise. Alors, j’entends souvent des entrepreneurs argumenter qu’ils sont « trop petits » pour se permettre d’avoir leur propre service informatique. C’est compréhensible, et dans de nombreux cas, il n’est pas utile d’en créer un. Malheureusement, la gestion des risques comme la gestion stratégique des questions informatiques ne peuvent pas être externalisées.

Aujourd’hui, chaque entrepreneur doit se poser les bonnes questions, être en mesure de vérifier la plausibilité de ses réponses, et prendre les bonnes décisions. Être entrepreneur signifie également prendre des risques. Mais, le risque de perdre toutes ses données commerciales doit être pris en compte. Dans le meilleur des cas, de nombreux risques peuvent seulement être réduits et ne peuvent pas être complètement éliminés de l’équation. Il y a toutefois une grande différence entre être conscient d’un risque ou n’en prendre conscience qu’une fois que le dommage est survenu.

intusdata sa – votre partenaire pour la gestion stratégique du cloud 

La digitalisation - ici et maintenant

Relevez les défis de la révolution digitale et assurez une plus grande efficacité et des voies plus courtes grâce à nos solutions sophistiquées et sécurisées.

Nos produits