Sécurité des données: quels risques lors du passage au cloud?

04.07.2022 // Sacha Briggen

Cela peut sembler cliché, mais les données sont le nouvel or. Il est donc d’autant plus surprenant de les traiter comme si elles ne présentaient aucun risque. Les PME ont pourtant beaucoup à perdre.

Avez-vous déjà perdu des données dans le cloud ?

En tant que sportif amateur passionné, je fais probablement partie de ceux qui sont déjà à la salle de gym à 6h30 du matin, pendant que d’autres se retournent encore une fois dans leur lit. Convaincu que des données de meilleure qualité, si elles sont bien utilisées, permettent de prendre de meilleures décisions, je tiens un journal numérique de mon entraînement. Pendant des années, j’ai été un utilisateur enthousiaste de Runtastic. Il y avait une application pour chaque objectif : une pour le vélo de course, une pour le VTT. L’application de jogging comprenait même une fonction pour surveiller mes progrès en ski de fond. Cette gamme de produits était complétée par ce que je considérais comme une solution web attrayante. Le rapport qualité-prix était fabuleux. Était. Puis la vente a eu lieu. Adidas s’est emparé de cette jeune entreprise à succès : pour les investisseurs, c’était certainement une aubaine. Pour l’acquéreur, une tentative payante de remédier à son propre échec à créer un écosystème numérique. Une situation gagnant-gagnant classique. Sauf pour moi. Effectivement, Adidas a pris la décision stratégique de se concentrer davantage sur les joggeurs à l’avenir.

Avec cette nouvelle orientation, la maintenance des applications qui m’intéressaient a été supprimée. Pire encore : la solution web a été complètement mise hors service. Et ce, avec un préavis d’une semaine à peine. Dès le jour J, il n’était plus possible d’y accéder. Fini, terminé. Ceux qui ont été assez rapides ont tout de même pu exporter leurs données dans un fichier CSV (Comma-Separated Values) en espérant pouvoir les réimporter un jour ailleurs. Oui, je suis un sportif amateur avec des ambitions. Cette expérience n’est rien de plus qu’une anecdote contrariante, bonne à ressortir lorsque les sujets de conversation s’épuisent dans un cercle illustre. Ce n’est donc pas réellement un événement dramatique. Mais, que se passerait-il si un scénario similaire se produisait avec mes propres données d’entreprise, essentielles à ma survie ?


Sécurité de données dans le cloud

Connaissez-vous la valeur des données de votre entreprise ?  

Imaginez ne plus avoir accès aux données importantes de l’entreprise dans le cloud. Un cauchemar absolu. Toutes les opportunités de vente, les données contractuelles, les commandes et factures en cours, les tickets de support, les prestations fournies, etc., se retrouvent tout au plus dans une structure CSV plate. Pour autant qu’une exportation ait été possible avant le shutdown. Comment puis-je retrouver la documentation des discussions avec les clients, leur environnement système, et toutes les connaissances acquises à travers les cas de support ? Cela peut paraître banal, mais les données sont effectivement le nouvel or. Même si l’on ne dispose « que » des siennes et non de celles de la moitié du monde comme Google, Facebook ou Amazon. Le sujet est généralement évoqué lorsqu’il s’agit de savoir ce que ces entreprises comptent faire de mes données personnelles, une question importante et souvent négligée. Les données de mon entreprise représentent pour moi la moitié de mon monde – voire plus.

Datensicherheit Cloud

Combien de temps votre entreprise survivrait-elle sans ses données ?  

Revenons au pire scénario de panne totale. Si vous n’avez jamais vu de fichier CSV, je vous conseille d’effectuer vous-même une exportation à partir d’une solution web que vous utilisez. La plupart d’entre elles proposent une telle fonction et le fichier peut être facilement ouvert dans Excel. Lorsque vous avez quelques dizaines de milliers d’entrées réparties dans différents tableaux, cela devient très compliqué. Toute la logique du programme de votre ancienne solution a disparu — vous ne voyez plus que des données, des données et encore des données. Et même une petite entreprise se retrouve rapidement avec des dizaines de milliers d’entrées. La bonne nouvelle, c’est que la plupart de ces données peuvent être réimportées dans un système cible. Peut-être que quelques informations utiles, mais pas forcément nécessaires, seront perdues. Vous pourriez vivre avec cela. Ce qui est pire, c’est qu’il vous faudra du temps. ET le temps nécessaire dépend de différents facteurs.

Une chose est sûre : vous devez d’abord évaluer une nouvelle solution. Le fournisseur doit analyser vos données et probablement écrire quelques scripts de migration. Ensuite, vous devez vérifier la migration, ce qui peut prendre du temps selon la quantité de données. Mais il vaut la peine de vérifier si tous les contrats ou abonnements ont été transférés aux bons clients. Après tout, vous ne voulez pas découvrir, au moment d’établir une offre urgente, que votre structure d’articles a été déchirée et que les rabais ne sont plus correctement attribués. En un clin d’œil, quelques semaines se sont écoulées avant que vous ne puissiez de nouveau travailler plus ou moins normalement et servir vos clients. Mon passé au sein d’une grande banque suisse m’a appris qu’en cas de panne totale du mainframe, la durée de survie aurait été de quelques jours à l’époque. Aujourd’hui, ce serait probablement quelques heures. En revanche, les systèmes sont plus distribués et la probabilité d’une panne totale est plus faible. Mais cela n’a pas d’importance. Ce qui est clair, c’est que si les systèmes ne deviennent pas immédiatement disponibles, la banque ne peut plus faire face à ses obligations et fait faillite. Du point de vue économique, il s’agit d’un problème d’importance systémique qui fait donc l’objet d’une réglementation minutieuse. La plupart des PME ne font pas d’opérations à terme sur le marché monétaire, et si elles en font, ce n’est pas dans des proportions comparables. À quoi cela ressemblerait-il dans mon entreprise ? Quelles sont en fait nos réserves de liquidités pour faire face à une interruption du processus de facturation ? Quelle est la probabilité que demain nous ne puissions plus accéder à des données importantes ?


💡CONSEIL : Comment appliquer correctement un processus de gestion des risques

Comment gérer les risques lorsque l’on passe au cloud ? Il vaut la peine de suivre le processus classique de gestion des risques :

🔍 Identifier les risques

📊 Évaluer les dimensions des risques

🛠️ Définir et mettre en œuvre des mesures

Les solutions cloud comportent des risques, notamment en matière de protection et de sécurité des données. En ce qui concerne la sécurité des données, qui vise à protéger techniquement les données contre la perte, la modification ou d’autres menaces, il faut également tenir compte du risque de défaillance commerciale du fournisseur.

Lors de l’évaluation des risques, on répond à la question de savoir quelle est la probabilité d’occurrence du risque et quelles seraient les conséquences en cas de survenance. Même si la probabilité est faible, les risques dont les répercussions seraient fatales et menaceraient l’existence même de l’entreprise nécessitent une grande attention.

Les mesures doivent, dans la mesure du possible, réduire la probabilité d’occurrence. Souvent, cela n’est possible que de manière limitée, et il s’agit de réduire la portée des conséquences. En particulier, des exportations régulières et automatiques, idéalement structurées à un niveau plus élevé (par exemple, sous forme de base de données), et un plan organisationnel sur la manière de procéder en cas de défaillance.

Daten schützen, Datensicherheit, Risikomanagement


Vive la gestion des risques

Cet article n’est pas un plaidoyer contre les solutions cloud. Celles-ci offrent de nombreux avantages et s’imposeront à long terme. Si un éditeur de logiciels ne rend pas sa solution compatible avec le cloud dans les années à venir, il n’aura pas d’avenir. Il en va de même pour nous. Voilà pourquoi nous investissons beaucoup de ressources et de cœur dans ce sujet. Cet article est plutôt un vote en faveur de la gestion des risques dans les PME. Je suis continuellement étonné de voir avec quelle insouciance les PME prennent leurs décisions en matière de données. Rares sont celles qui s’interrogent sur ce qui se passerait si le fournisseur devait déposer le bilan ou si, pour d’autres raisons, le système devait subir une panne prolongée. Avoir un plan clair pour de telles situations peut être décisif pour la survie d’une entreprise. Souvent, j’entends des entrepreneurs argumenter qu’ils sont « trop petits » pour se permettre d’avoir leur propre service informatique. C’est compréhensible, et dans de nombreux cas, il n’est pas utile d’en créer un. Malheureusement, la gestion des risques comme la gestion stratégique des questions informatiques ne peuvent pas être externalisées.

Aujourd’hui, chaque entrepreneur doit se poser les bonnes questions, être en mesure de vérifier la plausibilité de ses réponses et prendre les bonnes décisions. Être entrepreneur signifie également prendre des risques. Mais le risque de perdre toutes ses données commerciales doit être pris en compte. Dans le meilleur des cas, de nombreux risques peuvent seulement être réduits et ne peuvent pas être complètement éliminés de l’équation. Il y a toutefois une grande différence entre être conscient d’un risque ou n’en prendre conscience qu’une fois que le dommage est survenu.

intusdata sa – votre partenaire pour la gestion stratégique du cloud

Vous souhaitez un entretien de conseil sans engagement ? Nous sommes à votre disposition ! Contactez-nous dès aujourd’hui et découvrez comment nous pouvons vous aider à atteindre vos objectifs.