Daniel Benabou, président du CEIDIG et directeur général d’Idecsi et Hadrien Gravet, CTO de DND Agency ont partagé leurs recommandations en termes de gouvernance des données numériques avec les visiteurs du Forum IA.Cloud à Paris Expo, le 20 mars dernier.
La gouvernance des données sert le développement et la réussite de l’organisation, grâce à un cadre de gouvernance. « Sous le prisme de la cybersécurité, ce contrôle suit les quatre notions CIDT : confidentialité, intégrité, disponibilité et traçabilité des données. En premier lieu, on cherche à améliorer la visibilité des données. C’est une question de rôles et d’audits à faire avec ses collaborateurs, » résume Hadrien Gravet, CTO de DND Agency. Selon lui, la matrice des données est à établir avec chaque salarié, dès son arrivée dans l’entreprise.
L’IA signale l’urgence à agir
La démocratisation des agents IA impose une gouvernance des données plus précise encore. En effet, de plus en plus de documents critiques et de codes sources partent vers les serveurs d’OpenAI (ChatGPT), vers les datacenters d’Apple, Microsoft, Meta ou Google.
Les assistants d’IA permettent de poser une question en scannant tout l’environnement collaboratif de l’organisation pour obtenir rapidement les dernières analyses menées dans l’entreprise sur tel ou tel sujet. La pertinence des résultats dépend de la qualité des données partagées et non plus d’une expertise en requêtes SQL. Quant aux usages détournés, ils donnent une nouvelle dimension aux fuites d’informations sensibles.
C’est pourquoi il importe de superviser les accès, droits et partages en permanence, recommande Daniel Benabou, président du CEIDIG et directeur général d’Idecsi : « Imaginez un prompt demandant les 10 meilleurs salaires. L’information peut remonter, sans qu’on sache où elle est stockée, révélée par des documents mal partagés. Nous aidons à identifier les comportements suspects, en connectant un SOC puis en envoyant une notification à l’équipe sécurité ou à l’utilisateur : ici un nouvel accès, là un nouveau membre, un dossier sensible partagé ou une tentative d’accès sur un espace en brute force… Supervision permanente, détection et alertes deviennent essentiels. Nous recommandons un grand nettoyage semestriel des données, au-delà du checkup des droits, accès et partages et de la remédiation par l’utilisateur ou par l’administrateur. »
Prendre conscience des partages sensibles
Il conseille également de mieux renseigner tout utilisateur de services externalisés : « A quoi bon offrir la Ferrari du Cloud, sans moyens pour la contrôler, sans tableau de bord ni rétroviseur ? Pour y voir plus clair, il faut donner plus de visibilité au collaborateur lui-même. »
C’est l’objectif du tableau de bord individuel MyDataSecurity conçu pour révéler les partages pouvant poser problème, les données sensibles déposées dans Teams ou un partage anonyme ouvert à tous les invités du SI.
« Le cloud est fait pour être encore plus productif. Mais il introduit un transfert brutal et à bas prix de la capacité des administrateurs vers les utilisateurs qui partagent leurs données en deux clics. Le cloud contribue aussi à augmenter la volumétrie des données. Quelques 500 millions d’utilisateurs M365 sont en train de créer plus de 2 milliards de données d’entreprise par jour. Comment garder le contrôle ? »
Retirer la contrainte du partage des données pour la transférer à l’hébergeur est une fausse bonne idée, renchérit Hadrien Gravet : « Le cloud s’est généralisé, car on a pensé gagner en sécurité d’office. En fait, on a transféré le risque, souvent par abandon, en estimant que le NOC et l’équipe IT de l’hébergeur allaient gérer la donnée. Les premiers clouds ouverts n’offraient pas de date d’expiration d’accès pour les utilisateurs externes. Cette date existe à présent. Elle doit être configurée. »
Les outils collaboratifs augmentent la surface d’attaques de l’entreprise. DND Agency vérifie qui accède à quelles données et comment, les vulnérabilités exploitables et ce qui peut nuire à l’équilibre CIDT. En pratique, quatre agences pilotées par quatre responsables de pôles sont à présent spécialisées en gouvernance cyber, formation, renseignements et surveillance.
Organigramme revisité
Faut-il nommer un CDO (Chief Data Officer) pour endosser la responsabilité de la gouvernance des données de l’organisation ? Hadrien Gravet nuance : « Dans les grandes entreprises, le CDO établit et suit un plan de gouvernance, selon les décisions et le budget définis en comité de direction. Le CDO ou la personne la plus pertinente pour gérer les données devrait rejoindre le comité de pilotage de sécurité des SI. Ce poste fera alors partie des projets connexes. »
Pour sa part, Daniel Benabou rencontre peu de CDO impliqués sur la gouvernance des données. « Le sujet est traité au carrefour du RSSI, du patron de la workplace et parfois du responsable des infrastructures. Il n’y a pas encore un responsable bien identifié. Du coup, l’approche par les risques évite les conséquences d’accès problématiques ou de données surexposées, » note-t-il avant de recommander d’agir sur deux leviers simultanément : identifier ce qui ne va pas sur les données les plus critiques, et obtenir la contribution des utilisateurs qui sont leur propre administrateur de données.
Mise en conformité et gestion de crise
La mise en conformité réglementaire (NIS2, DORA, CRA) devrait améliorer la sensibilisation des décideurs au sujet, flécher des formations, de bonnes pratiques à suivre et des outils à partager. D’autant que les SI intermédiaires d’ETI et de PME, et les applicatifs mobiles restent à renforcer pratiquement partout : « 90% des ETI et des PME n’ont pas de PCA ni de PRA. Or, une fois piratées, elles impactent toute la chaîne d’approvisionnement par escalade, » confirme Hadrien Gravet.
Il complète : « Stagiaires alternants et collaborateurs mécontents sont les premiers vecteurs de fuites de données. Début mars, nous avons proposé une simulation de gestion de crise. Les collaborateurs ont choisi d’arrêter le réseau complètement lors de cet exercice. Impossible alors d’informer les services et partenaires, car il n’y avait ni liste de destinataires prioritaires ni backup offline. Faute d’analyse des risques, l’équipe ne savait pas ce qu’il fallait isoler et protéger en priorité. Sur trois hébergeurs en activité, le plus important qui est à la racine de l’ERP n’a même pas été mentionné. En cas de crise avérée, la coupure suggérée n’aurait rien résolu. »
