Etude Blancco sur la protection des données dans le cloud : L’adoption croissante du Cloud constitue une nouvelle menace pour la sécurité des données pourles Services de Santé et Financiers en France

Le dernier rapport Blancco met en évidence la difficulté croissante qu’ont les entreprises françaises de santé et de services financiers à relever les nouveaux défis liés à la protection des données dans le cloud.

PARIS –22 mars 2023—Une nouvelle étude lancée aujourd’hui par Blancco Technology Group (LON: BLTG), la référence en matière de solutions d’effacement de données et de cycle de vie des appareils mobiles, révèle l’ampleur de l’utilisation du cloud par les entreprises de santé et de services financiers en France, ainsi que les effets de l’adoption du cloud sur la classification des données, la minimisation et la destruction de données en fin de vie (EOL).

Sur la base d’une enquête mondiale réalisée auprès de 1800 répondants, dont 300 en France, l’étude, Données Stockées à distance, a constaté une forte adoption du cloud, grâce à la facilité de gérer les volumes de données. Toutefois, 71% des répondants français déclarent que ce changement a pour conséquence l’augmentation du volume de données redondantes, obsolètes ou triviales (ROT) qu’ils collectent. Il s’agit du chiffre le plus élevé de tous les pays étudiés.

Les volumes croissants de données stockées posent de nombreux problèmes et préoccupent de plus en plus les entreprises opérant sur des marchés fortement réglementés. Outre les risques de non-conformité réglementaire, le stockage de ces données implique des impacts en matière de coût et de durabilité, ainsi que des problèmes de sécurité – plus il y a de données, plus la surface d’attaque est importante et plus la responsabilité est grande en cas de violation.

Les meilleures pratiques en matière de gestion des données indiquent que les entreprises doivent savoir quelles données elles ont collectées, y compris leurs valeurs, l’endroit où elles sont stockées, et quand elles doivent être supprimées de manière définitive. Toutefois, seule la moitié des entreprises (50%) en France peuvent se vanter de disposer d’un modèle de classification des données mature qui détermine quand les données ont atteint leur fin de vie – ce qui signifie que la moitié des entreprises ne savent pas quand il convient d’éliminer les données stockées sur le cloud.

Interrogés sur leurs approches en matière de cloud, 65% des répondants en France déclarent que leur fournisseur de cloud traite les données en fin de vie pour eux. Il s’agit du chiffre le plus élevé de tous les pays étudiés. Toutefois, près d’un tiers (30%) ne font pas confiance à leur fournisseur de cloud pour gérer convenablement les données en fin de vie pour leur compte.

« Les prestataires de services de santé et financiers en France traitent certaines des informations les plus confidentielles et les plus sensibles qui soient. Ils sont passés au cloud pour obtenir une meilleure connectivité, faciliter la transformation numérique et la gestion des données, mais bon nombre d’entre eux ne savent toujours pas comment réduire le risque et maintenir la conformité lorsque ces données ne servent plus à une fonction commerciale », a déclaré Yves Gheeraert, Directeur Benelux, France & Europe méridionale chez Blancco.

« La Covid a modifié les normes de travail dans tous les secteurs, et l’adoption du cloud a permis de s’adapter à ces changements. Mais les hackers ont également modifié leur approche. Les acteurs du secteur ont indiqué que 45% des violations qui se sont produites en 2022 étaient basées sur le cloud. Notre étude a toutefois montré de multiples cas de pratiques insuffisantes en matière de gestion des données en fin de vie dans le cloud. »^[1]

Points clés de l’étude Blancco portant sur 300 répondants de services de santé et financiers en France :

• 68% des entreprises pensent qu’elles peuvent mieux gérer les données en fin de vie dans leurs locaux plutôt que sur le cloud
• 62% utilisent un système de suppression basé sur un logiciel avec une preuve d’audit pour gérer l’ensemble des données – à la fois sur site et sur le cloud, mais un pourcentage préoccupant de 33% effectue la suppression sans prevue d’audit
• 88% des personnes interrogées reconnaissent la classification des données comme une première étape importante pour atteindre la sécurité des données  
• 38% commencent tout juste à mettre en œuvre une politique pour la classification et la minimisation des données, et plus d’une personne sur dix (11%) doit encore mettre en application un tel processus

Une évaluation régulière des données et l’établissement de durées de conservation représentent une préoccupation essentielle et croissante alors que les exigences réglementaires augmentent pour les secteurs de la santé et des services financiers. L’étude a constaté que 57% des entreprises, tant en France qu’à l’échelle mondiale, disposent d’un programme de données dans lequel elles analysent différents types de données afin de déterminer si elles ont atteint leur fin de vie. Mais près d’un quart (24%) en France utilisent l’approche brutale qui consiste à établir automatiquement une date d’expiration des données, solution simple mais inefficace puisqu’elle ne tient pas compte de ce que sont les données, de ce à quoi elles servent ou du risque qu’elles ne tombent entre de mauvaises mains.

Les entreprises de santé et de services financiers en France sont toutefois conscientes des nouveaux défis auxquelles elles sont confrontées, pour gérer les données en fin de vie sur le cloud. En réalité, 65% d’entre elles ont jugé nécessaire de réévaluer comment elles déterminent les données qui ne sont plus nécessaires en passant de l’analogique au numérique. Mais outre le fait qu’elles se trouvent en difficultés lorsqu’il s’agit de la classification et de la minimisation des données, un pourcentage préoccupant de 57% des répondants a rapporté avoir recours à la suppression des données – un processus qui ne supprime généralement que les pointeurs des données – au moins certaines fois pour traiter certaines de leurs données en fin de vie. Cela laisse les données intactes et récupérables sans preuve d’audit fiable permettant de prouver la destruction complète des données en fin de vie.

Les meilleures pratiques qui peuvent avoir été mises en place dans les datacenters sur site peuvent être abandonnées lorsque les entreprises migrent leurs données sur le cloud. Bien que les fournisseurs de cloud soient généralement tenus de faire référence aux processus de suppression ou de destruction des données dans les contrats avec les utilisateurs, la pratique consistant à recevoir des garanties claires que des données sensibles spécifiques ont été définitivement supprimées n’en est encore qu’à ses prémisses, ce qui rend les secteurs hautement réglementés vulnérables à la fois aux problèmes de non-conformité réglementaire et aux menaces d’accès non autorisé aux données.

L’adoption rapide du cloud générée par la Covid met en lumière la nécessité pour les entreprises de repenser la propriété de leurs données sur un marché fortement réglementé et saturé de menaces. Le rapport énumère les meilleures pratiques qui guideront ces entreprises et les autres entreprises dépendantes des données pour assurer le respect des réglementations et leur permettre de continuer à se protéger et à protéger leurs clients. Pour une analyse complète, lire le rapport ici : Données Stockées à distance.

[1] (IBM, 2022): Cost of a data breach 2022: A million-dollar race to detect and respond. https://www.ibm.com/reports/data-breach

Méthodologie :

Cette étude est basée sur un sondage auprès de 1800 décideurs en matière de conservation et de suppression des données dans le monde entier, dont 300 en France. Les répondants sont uniformément répartis entre des Services Financiers et le Secteur de la Santé.

L’étude, lancée par une société de recherche indépendante, Coleman Parkes entre novembre et décembre 2022, rassemble des données d’employés de six pays : les États-Unis (U.S.), le Canada, le Royaume Uni (R.U.), l’Allemagne, la France, et le Japon. Les pays représentent les régions de l’Amérique du Nord, de l’Europe, et de l’Asie du Pacifique dans lesquelles travaille Blancco.

À propos de Blancco Technology Group
Réduisez les risques. Augmentez l’efficacité. Optez pour la durabilité.

Blancco Technology Group (AIM : BLTG) fournit aux organisations des solutions sécurisées, conformes et automatisées qui favorisent la transition vers l’économie circulaire. Chaque année, Blancco procède à des dizaines de millions d’effacements pour le compte d’acteurs de premier plan, qui se prémunissent ainsi contre tout accès non autorisé à leurs données en fin de vie, peuvent redéployer en toute sécurité les dispositifs de stockage et se conformer aux exigences accrues en matière de protection des données et de confidentialité. Leurs diagnostics précis permettent de réinjecter en toute sérénité les périphériques informatiques usagés dans l’économie circulaire. Ainsi, les entreprises, les fournisseurs de solutions ITAD (destruction des actifs informatiques) et les acteurs du secteur des communications mobiles opèrent de manière plus durable.

Approuvé, recommandé et certifié par les instances dirigeantes et industrielles du monde entier, Blancco s’impose comme la norme du secteur en matière d’effacement de données et de cycle de vie des dispositifs mobiles. Avec plus de 35 idées brevetées ou en attente de brevet, Blancco continue à proposer de nouvelles solutions innovantes sur lesquelles les entreprises internationales peuvent compter pour renforcer leurs opérations, sécuriser leurs données et développer leurs activités. Pour en savoir plus, consultez leur site : blancco.com.

Contacts

Agence becoming (France)
Hadiyatou Diallo
T : +33 (0) 6 51 85 72 96
E-mail : hadiyatou.diallo@becoming-group.com

Blancco Technology Group
Vivian Cullipher, Head of Content
T: 512-975-4910
E: vivian.cullipher@blancco.com