Sécurité de l’information
Pour protéger votre information, vous devez d’abord savoir quel type d’information vous possédez, où vous la stocker et les risques que cette information entraîne pour votre organisation. En transformant les données brutes en renseignements structurés et exploitables pouvant faire l’objet de recherches, vous pouvez découvrir de l’information qui vous aidera à prendre de meilleures décisions et à mettre en place les niveaux appropriés de protection.
Gouvernance de l’information
Maintenir le contrôle de votre information pour optimiser vos activités et votre protection contre les menaces ainsi que pour garantir votre conformité réglementaire et juridique exige des politiques et des programmes globaux basés sur des normes internationales. La gouvernance de l’information concerne l’orchestration de la création, de la cueillette, de la gestion, de la rétention et de l’élimination de l’information à l’échelle de l’organisation.
L’élaboration de politiques de gouvernance de l’information qui respectent les normes exige l’expertise de spécialistes certifiés orientés par des directives visant à respecter les besoins de votre organisation. Les services de gouvernance de l’information aident les organisations à respecter les politiques de sécurité et à atteindre la conformité à l’égard de diverses réglementations fédérales, provinciales et municipales ainsi que divers règlements de l’industrie, en plus de leur donner la capacité d’effectuer des vérifications et de prouver leur conformité d’une manière efficace.
Toute transaction entre une entreprise et un intervenant laisse une trace de données. Il peut s’agir de données hautement confidentielles, comme des renseignements d’identification personnelle ou de l’information de l’industrie de carte de paiement, qui exigent des mesures de sécurité, de confidentialité et de contrôle de la découverte. D’autres données, que l’on nomme les données redondantes, obsolètes ou insignifiantes (ROT, redundant, obsolete, trivial), n’ont aucune valeur et occupent inutilement de l’espace. On estime que les données ROT comptent pour, au minimum, 25 à 30 % des données d’entreprise. Certaines sources estiment que ce pourcentage est beaucoup plus élevé.
Les données non structurées sont des renseignements n’ayant pas été organisés dans une base de données traditionnelle et structurée, ce qui signifie qu’ils sont inaccessibles, qu’ils ne font pas l’objet d’un suivi et qu’ils ne peuvent être utilisés à titre d’information d’affaires. Si vous ne gérez pas votre répertoire de données, dont la plupart sont non structurées, vous risquez de stocker des volumes élevés de données ROT, vous exposez votre organisation à des risques et la rendez vulnérable aux brèches.
Les données non structurées sont un important facteur pouvant entraîner des atteintes à la sécurité, des violations à la vie privée, des coûts élevés en matière de TI ainsi que de pénalités liées à la non-conformité. Lorsqu’on pense à la cybersécurité, il faut savoir que les données non structurées sont souvent des cibles faciles pour les cybercriminels qui tentent d’accéder plus profondément aux systèmes. Ces derniers cherchent des renseignements monétisables comme des noms, des adresses, des dates de naissance, des numéros d’assurance sociale, des mots de passe, des numéros de cartes de crédit, des données bancaires ou des contrats. Malheureusement, les données confidentielles se trouvent souvent au sein même de l’infrastructure, ce qui complexifie leur suivi et leur protection.
Voici quatre domaines clés d’amélioration de la gouvernance de l’information qui permettent de limiter les risques :
1. Plateforme de gestion des dossiers et de l’information
La mise en place d’un programme de gestion des dossiers et de l’information (RIM, records information management) garantit que les organisations respectent les exigences réglementaires et juridiques en plus d’améliorer l’efficacité de l’accès à l’information. Les pratiques adéquates de gestion des dossiers et de l’information, appuyées par une plateforme sécurisée, contribuent à la protection de l’information grâce à un stockage sécurisé, à un contrôle des accès, à des pistes de chiffrement et d’audits ainsi qu’à la réduction des risques de sécurité et de confidentialité.
Il est essentiel d’établir des politiques de gouvernance, élaborées en collaboration avec des spécialistes certifiés de la gestion des dossiers, qui englobent l’information de toute l’organisation, qui sont soutenues par des pratiques et des technologies qui favorisent la gouvernance tout au long du cycle de vie des renseignements, de leur collecte à leur élimination, en passant par leur stockage. Ce faisant, les organisations peuvent se protéger contre les brèches et maintenir l’intégrité et la confidentialité des données critiques, tout en rehaussant la confiance et la fiabilité.
2. Analyse de fichiers et outils de classification
La mise en place d’un programme de gestion des dossiers et de l’information (RIM, records information management) garantit que les organisations respectent les exigences réglementaires et juridiques en plus d’améliorer l’efficacité de l’accès à l’information. Les pratiques adéquates de gestion des dossiers et de l’information, appuyées par une plateforme sécurisée, contribuent à la protection de l’information grâce à un stockage sécurisé, à un contrôle des accès, à des pistes de chiffrement et d’audits ainsi qu’à la réduction des risques de sécurité et de confidentialité.
Il est essentiel d’établir des politiques de gouvernance, élaborées en collaboration avec des spécialistes certifiés de la gestion des dossiers, qui englobent l’information de toute l’organisation, qui sont soutenues par des pratiques et des technologies qui favorisent la gouvernance tout au long du cycle de vie des renseignements, de leur collecte à leur élimination, en passant par leur stockage. Ce faisant, les organisations peuvent se protéger contre les brèches et maintenir l’intégrité et la confidentialité des données critiques, tout en rehaussant la confiance et la fiabilité.
3. Politique et mise en œuvre alimentées par des spécialistes
L’établissement d’une politique de gouvernance de l’information approuvée par la direction offre un cadre de travail et des mesures de contrôle qui permettent de gérer efficacement le traitement de l’information. La gouvernance contribue à l’atténuation des risques organisationnels et garantit que les technologies et les comportements respectent les exigences réglementaires et juridiques. Lorsque les politiques et les directives sont mises en place, les procédures efficaces de protection des données peuvent être inculquées au personnel et intégrées aux procédures et aux technologies.
Les politiques devraient aborder la gestion des dossiers et de l’information, les mesures de contrôle de la confidentialité ainsi que la sécurité des données. Des directives organisationnelles expliqueront les procédures, les flux de travaux et les protections dans des communications et des guides opérationnels. Les rôles et les responsabilités y seront également clairement définis. Des formations régulières sont également nécessaires à mesure que les activités et les réglementations évoluent. Des technologies peuvent être mises en place pour activer les mesures de contrôle, automatiser les procédures ainsi que pour mesurer les résultats, en faire le suivi et produire des rapports à leur égard.
4. Politiques et procédures de gestion du cycle de vie des données
L’objectif de cette pratique exemplaire en matière de sécurité est de limiter le risque auquel une organisation est exposée grâce à la gestion des données, y compris les données confidentielles et l’information précieuse, pendant toute leur durée de vie. Les équipes de services professionnels et de services gérés de Ricoh peuvent vous aider à toutes les étapes de cette procédure.
Les politiques et les procédures portant sur la rétention et l’élimination établissent le cycle de vie des données et le traitement réservé aux différentes catégories de données. Les politiques de rétention peuvent établir le moment et la façon dont vos données sont déplacées de vos répertoires actifs à vos archives ou à un répertoire en nuage hors site ou dont elles sont purgées de vos systèmes conformément aux politiques. Les services d’élimination en fin de vie regroupent les données à nettoyer des appareils multifonctions afin d’assurer que la mémoire non volatile (NVRAM) et les lecteurs des appareils retirés des clients soient complètement nettoyés avant d’être éliminés.
Automatisation des procédures d’affaires
- 1IDC. “High Data Growth and Modern Applications Drive New Storage Requirements in Digitally Transformed Enterprises,” July 2022.