Pourquoi vous devez gérer les données des télétravailleurs et comment le faire ?

Les données d’entreprise ne vivent plus dans les limites sécurisées des centres de données gérés par l’informatique. Elles se trouvent désormais souvent chez les travailleurs à distance. C’est un énorme problème pour les entreprises.

Le télétravail et le travail à domicile existent depuis des décennies, mais la pandémie de Covid-19 a accéléré la tendance. Près de 70 % des travailleurs à temps plein aux États-Unis travaillent désormais à domicile, selon une étude d’Owl Labs, et la moitié des travailleurs ne retourneront pas à un emploi qui ne propose pas de travail à distance une fois la pandémie passée.

Le problème pour les entreprises est que cette mégatendance du travail à distance fait courir un risque important aux données de l’entreprise, au moment même où la protection des données devient un sujet brûlant pour les gouvernements et les consommateurs du monde entier. Selon une étude de Crowd Research Partners, près de 90 % des entreprises déclarent se sentir vulnérables à des violations de données remontant à leur équipe.

Cette inquiétude est justifiée. Selon une étude de Microsoft, près de 73 % des entreprises ont été confrontées à des fuites de données sensibles et à la divulgation de données l’année dernière. Le travail à distance peut présenter une multitude d’avantages, mais la sécurité des données n’en fait pas partie.

Le coût des fuites et de la divulgation de données dans le cadre du travail à distance peut également être énorme.

Amendes liées à la réglementation sur la protection de la vie privée

La législation la plus connue en matière de confidentialité des données est le règlement européen RGPD, qui est à l’origine de tous les avis de confidentialité qui ont commencé à apparaître sur les sites Web il y a quelques années. Mais plus de 107 pays disposent désormais de réglementations sur la confidentialité des données, y compris de nouvelles règles strictes en la matière dans des États tels que la Californie et New York.

Le coût d’une fuite de données clients peut être énorme. La réglementation californienne sur la confidentialité des données, par exemple, prévoit une amende de 7 500 dollars par violation individuelle des données. Les violations du RGPD sont encore plus sévères, avec des violations même mineures pouvant déclencher des amendes de 2 % du chiffre d’affaires d’une entreprise ou des sommes atteignant 11 millions de dollars.

Atteinte à la réputation de la compagnie

Les entreprises assument la responsabilité de la sauvegarde des informations d’identification personnelle lorsqu’elles stockent des données telles que des noms, des adresses, des informations sur les cartes de crédit et le comportement des clients, entre autres. Il s’agit d’un pacte fondamental entre une entreprise et ses clients.

C’est pourquoi près de 80 % des personnes interrogées dans le cadre d’une récente enquête du Pew Research Center ont déclaré être « assez » ou « très » préoccupées par la manière dont les entreprises utilisent leurs données personnelles.

Lorsque ces données font l’objet d’une fuite, une entreprise est donc confrontée à un coup dur pour sa réputation de marque. Une fuite de données peut entraîner une baisse de la confiance dans l’entreprise, une perte de chiffre d’affaires, voire des poursuites judiciaires de la part de clients lésés. La fuite de données sur les clients est un cauchemar de relations publiques qui entraîne des coûts financiers tangibles.

Dépenses liées à la récupération des données perdues

Il y a d’abord le désastre des relations publiques lorsque des données s’échappent d’une entreprise par l’intermédiaire d’un travailleur à distance, puis il y a le cauchemar du nettoyage des données. Gérer une violation de données et veiller à ce qu’elle ne se reproduise pas est une activité coûteuse en temps et en argent qui peut priver une entreprise de ressources importantes, voire la détruire.

Selon l’étude d’IBM, il faut en moyenne 280 jours pour nettoyer complètement une violation de données d’entreprise. Le coût moyen mondial de ce nettoyage est de 3,86 millions de dollars. Cette somme peut sembler dérisoire pour les entreprises américaines victimes d’une violation de données, mais le coût moyen du nettoyage aux États-Unis est de 8,64 millions de dollars.

Comment assurer la sécurité des données des entreprises distantes

Pour les entreprises employant des travailleurs à distance, il existe quatre étapes clés pour garantir la sécurité des données de l’entreprise, même lorsque les employés travaillent à domicile.

1. Savoir où se trouvent toutes les données

La première étape, la plus importante, consiste à dresser un inventaire précis de toutes les données de l’entreprise et de leur emplacement. Sans visibilité, il ne peut y avoir de protection.

Pour cataloguer complètement les données de l’entreprise, il faut scanner les lecteurs du réseau, auditer les ordinateurs portables des employés et comprendre tous les flux de données de l’entreprise afin d’avoir une image complète de ce qui doit être sécurisé.

2. Classifier les données de l’entreprise

Il existe des niveaux de sécurité. Toutes les données ne sont pas aussi sensibles les unes que les autres, aussi différents types de données d’entreprise nécessiteront-ils différents niveaux de protection. Les données sensibles telles que les dossiers des clients, la propriété intellectuelle et les données réglementées nécessitent un ensemble de mesures de protection plus strictes que les organigrammes ou le guide des ventes d’une entreprise.

La deuxième étape pour sécuriser les données professionnelles à distance consiste donc à classer chaque type de données professionnelles et à leur attribuer un niveau de sensibilité. À partir de là, une entreprise peut hiérarchiser des ensembles de données spécifiques et définir les mesures de sécurité les plus appropriées pour chacun.

3. Déployer et appliquer des contrôles d’accès stricts

Une grande partie de la protection des données consiste à contrôler l’accès. Si un employé distant n’a pas besoin d’accéder à un référentiel de données sensibles, c’est une opportunité de moins pour une violation de données.

Une fois les données de l’entreprise cataloguées et classées, les entreprises doivent définir des contrôles d’accès appropriés pour chaque groupe d’employés et mettre en place des solutions logicielles qui fournissent et appliquent strictement ces contrôles d’accès.

4. Surveiller les flux de données en temps réel

La dernière pièce du puzzle consiste à surveiller les flux de données en temps réel pour que l’entreprise sache où les données se déplacent, même après que toutes les données ont été cataloguées, et pour repérer les comportements à risque qui pourraient avoir un impact sur la sécurité des données. Cet aspect est particulièrement important pour les entreprises employant des travailleurs à distance, car la visibilité et le contrôle sont généralement réduits.

Il y a cinq ans encore, ce niveau de surveillance et d’analyse des données en temps réel n’était souvent pas possible dans un environnement de travail à domicile. Mais tout comme la technologie a progressé pour permettre un travail à distance généralisé, il existe désormais des solutions de sécurité capables de surveiller toutes les ressources de données de l’entreprise en temps réel sans être trop lourdes ou invasives.