Ce rapport avertit en outre que ce problème ne fera que s'aggraver, car les criminels organisés sont désormais les auteurs de la majorité des vols de données et des usurpations d'identité. De nombreuses entreprises sont exposées à ces risques, tout simplement parce qu'elles collaborent à l'international sans être dotées des protections adéquates, laissant ainsi leurs données à la merci de quiconque. Ces sociétés semblent croire encore que les pare-feu et protections de périmètre traditionnels suffisent à protéger leurs données, et ce malgré les avertissements émis depuis longtemps concernant l'inadaptabilité des sécurités de périmètre, par des groupes tels que le Jericho Forum.
PWC avertit que de nombreuses entreprises se fourvoient également actuellement en pensant que leurs données sont sécurisées simplement parce qu'elles se sont conformées aux normes du secteur, telles que SOX, GLBA, HIPAA, ou PCI. La société de conseil affirme également que si la conformité fournit certes un filet de sécurité, ce filet a toujours des trous. Les entreprises devraient plutôt se concentrer sur les risques et l'exposition au risque afin d'amener le niveau de protection de leurs données là où il devrait être.
La protection des données d'entreprise commence par la localisation des données en question. Par ailleurs, selon l'analyse « Global State of Information Security Study », réalisée en 2008 par PWC, pratiquement trois quarts des 7 000 professionnels de l'informatique ciblés par l'analyse à travers le monde ne tiennent pas un inventaire précis de l'endroit où leurs données de grande valeur sont stockées. Cette étude suggère que les cadres dirigeants se posent un certain nombre de questions au moment d'évaluer la protection des informations de leur société :
- Où se trouvent nos données les plus confidentielles, et qui y a accès ?
- Quelles sont les réglementations et normes qui s'appliquent à nos données ?
- Avons-nous déjà été la cible d'un vol de données et d'identité ?
- Notre modèle commercial collaboratif expose-t-il nos données à certains risques ?
- Nos employés, clients et partenaires commerciaux comprennent-ils leur rôle dans la protection des informations confidentielles ?
- Nos protections permettent-elles d'avoir des données intégralement protégées, même sur des appareils mobiles ?
PWC suggère en outre un plan de stratégie de protection des données :
- Elaborer et mettre en place un plan détaillé de protection de l'information.
- Identifier et classer les données en fonction de leur niveau de confidentialité et de risque. Savoir où elles se trouvent et où elles circulent.
- Comprendre les menaces spécifiques qui pèsent sur vos données et votre organisation.
- Mettre en place des capacités de protection afin de protéger intégralement vos données confidentielles.
- Tester vos capacités de protection. Les contrôler continuellement et les mettre à jour lorsque cela est nécessaire.
- Planifier une réponse contrôlée et coordonnée aux incidents lorsque ceux-ci se produisent.
After a Masters in Computer Science, I decided that I preferred writing about IT rather than programming. My 20-year writing career has taken me to Hong Kong and London where I've edited and written for IT, business and electronics publications. In 2002 I co-founded Futurity Media with Stewart Baines where I continue to write about a range of topics such as unified communications, cloud computing and enterprise applications.