Vie privée

Les cyberattaques se déplacent de l’infrastructure IT aux bases de données

| Mise à jour

Selon une étude de Gartner, d’ici 2019, 90% des entreprises auront des données personnelles sur un système IT qu’elles ne possèderaient pas. Plus inquiétant, elles n’auront aucun contrôle.

(Quelle: Netzmedien-Archiv)
(Quelle: Netzmedien-Archiv)

Depuis que l’informatique existe, les entreprises sont régulièrement ciblées par des cyberattaques sur la vulnérabilité de leur infrastructure. Mais avec les remparts actuels, les attaques se sont déplacées vers des cibles plus faciles, comme les employés, les clients, les patients…

Selon Gartner, les organisations doivent créer un programme de protection de leur base de données. D’ici 2019, 90% des entreprises auront installées celles-ci sur des systèmes sur lesquelles elles n’auraient pas de contrôle. «Comme la quantité d’informations personnelles récoltées augmente, elles deviennent de plus en plus des cibles potentielles. Et pourtant, l’entreprise est toujours responsable en dernier ressort des données stockées sur ses systèmes informatiques», observe Carsten Casper, vice-président de la rechercher chez Gartner.

«Le PCI Data Security Standard (DSS) nécessite la mise en œuvre de contrôles rigoureux de ceux qui recueillent et stockent les données de cartes de crédit. C’est pour cela que de nombreuses entreprises ont décidé de supprimer les données de cartes de crédit de leur système, et de les confier à un prestataire externe, poursuit Carsten Casper. La même chose pourrait se produire avec les données personnelles. Si les exigences de contrôle sont trop fortes et la mise en œuvre trop chère, il serait judicieux de transmettre la base de donnée à des sociétés spécialisées.»

Gartner préconise de délimiter clairement les données à caractère personnel et non personnel. Mais il s’agit de trouver comment classer les informations qui tombent dans les deux catégories. En général, les entreprises préfèrent se protéger en ne prenant aucun risque dans le classement, quitte à se faire taper sur les doigts par une autorité de régulation.

Pour séparer les divers secteurs, les entreprises utilisent aujourd’hui déjà la distance géographique, observe l’étude. Les données personnelles peuvent être stockées dans un centre de données en cloud aux Etats-Unis, qui serait exploité par un fournisseur de services tiers de l’Inde, sans que les données cryptées puissent être lues par les informaticiens indiens responsables des routeurs. Seul le client européen, avec les lois européennes sur la vie privée, aurait accès à ces données.

Kommentare

« Plus