Les préoccupations en matière de gestion des données sensibles et de cybersécurité mettent les organisations – privées comme publiques – sous tension. L’IA permet une sophistication croissante des menaces. En parallèle, la pression réglementaire relative à la protection des données sensibles s’accroît (conformité RGPD, NIS 2, notamment), tout comme les exigences de souveraineté en matière d’hébergement cloud.
DSI et RSSI doivent composer avec l’ensemble de ces contraintes afin d’assurer efficacement la gestion de leurs données sensibles. Quelles sont leurs pratiques en la matière ? Quelles sont les principales mesures de sécurité mises en place ? Sur quels critères considèrent-ils des données comme « sensibles » ? À quel point la souveraineté des données est-elle importante pour eux ?
Afin de répondre à l’ensemble de ces questions, Oodrive et Le Monde Informatique ont mené une enquête auprès de DSI et RSSI fin 2024. Les résultats de cette étude apportent un éclairage inédit sur les pratiques des DSI et RSSI en matière de gestion des données sensibles (mesures de sécurité, exigences en matière d’hébergement, conformité, etc.).
Sécuriser les données et les usages des collaborateurs : une priorité opérationnelle
Les entreprises doivent désormais renforcer leurs dispositifs en matière de cybersécurité afin de protéger efficacement leurs données sensibles.
L’étude menée par Oodrive et Le Monde Informatique révèle que l’authentification multifacteur (MFA) est le mécanisme de sécurité le plus répandu dans les entreprises pour protéger les données sensibles dans le cloud. La MFA est citée par près des trois quarts des répondants (72 %). Viennent ensuite le chiffrement des données, une mesure adoptée par 54 % des répondants, puis la sauvegarde de données ou PCA (37 %).
Gestion et sécurité des données sensibles
Découvrez les pratiques et défis des DS/RSSI en matière de sécurité des données sensibles.
La préoccupation majeure des responsables IT lors des échanges de données sensibles (en interne ou en externe) n’est pas tant le piratage, cité par 9 % d’entre eux, que les risques d’atteintes aux données, sous différentes formes :
- 35 % des dirigeants IT redoutent les fuites de données,
- 8 % les vols de données,
- 7,5 % les pertes de données.
Ces chiffres révèlent bien une prise de conscience aiguë vis-à-vis de la valeur des données, qui constituent désormais un patrimoine stratégique à protéger.
Les mécanismes de sécurité ne suffisent cependant pas, à eux tout seuls, à protéger efficacement les données sensibles. Il est également nécessaire de renforcer le « maillon humain » au sein de la chaîne de sécurité. Les méthodes de sensibilisation des équipes les plus efficaces pour la sécurité des données sensibles sont les campagnes de sensibilisation, citées par près de 60% des répondants, et les formations régulières (52 %).
L’étude met en lumière l’enjeu pour les DSI et RSSI de parvenir à développer une approche intégrée. Celle-ci doit combiner à la fois des outils et mécanismes de sécurité robustes, et le développement d’une culture de sécurité auprès des équipes.
La classification, une nécessité pour la protection des données et la conformité
Les données personnelles sont considérées par les DSI et RSSI comme étant les données les plus sensibles, puisqu’elles sont citées par 50 % des répondants. Un chiffre qui reflète bien leurs préoccupations en matière de conformité RGPD. Viennent ensuite les informations stratégiques (41 %), celles relatives à la propriété intellectuelle (40 %) et à la sécurité informatique (36 %).
Les méthodes de classification des données sensibles des DSI et RSSI sont variables, mais convergent vers une logique de gestion des risques. La majorité (52%) des dirigeants IT privilégie une classification en fonction de l’impact potentiel du risque encouru, ce qui témoigne d’une approche pragmatique. Plus d’un tiers des répondants (35 %) citent le niveau de confidentialité comme critère de classification, et 31 % le type de données.
