Protection des données

prise en charge du Hero Banner

Qu’est-ce que la protection des données ?

Protéger des données signifie les préserver de toute perte, vol ou corruption, mais également être capable de les restaurer si elles deviennent inaccessibles ou inutilisables suite à un événement indésirable.

Une solution de protection des données implique des personnes, des processus de sécurité des données, ainsi que des outils et des technologies de protection des données. Elle comprend les cas d’usage suivants :

  • Sauvegarde et restauration : composante essentielle de la protection des données, ce processus consiste à copier les données et à les stocker en lieu sûr en cas de perte ou de dommage, puis à les restaurer, soit à l’emplacement d’origine, soit à un autre emplacement sécurisé, afin qu’elles puissent à nouveau être utilisées pour alimenter les opérations.
  • Restauration massive instantanée : cette solution de protection des données permet aux entreprises de restaurer instantanément les données et les applications à grande échelle et de réduire les objectifs de point de restauration (RPO) à quelques minutes.
  • Résilience des données / continuité de l’activités / cyber-résilience : une solution de protection des données permet de garantir la résilience des données, la résilience de l’activité et la cyber-résilience. L’entreprise est ainsi capable de maintenir ses opérations et de restaurer rapidement son activité en cas de perturbations inattendues ou de perte de disponibilité des données.
  • Protection continue des données : une méthode de protection des données qui garantit une sauvegarde continue et automatique des données. Les modifications sont enregistrées en temps réel ou quasi réel pour permettre une restauration rapide à partir de n’importe quel point dans le temps. En cas de perte de données, les entreprises peuvent donc les restaurer en limitant au maximum l’interruption de leur activité.
  • Rétention à long terme : une stratégie qui permet aux clients de conserver ou d’archiver leurs données de sauvegarde pendant de longues périodes (de quelques mois à plusieurs dizaines d’années) pour des raisons de référence, de conformité, de droit ou d’historique.

Quels sont les principes de la protection des données ?

Toute entreprise qui traite des données doit le faire en s’appuyant sur les sept principes de la protection des données. Ceux-ci sont détaillés dans l’article 5.1-2 du règlement général sur la protection des données (RGPD) de l’Union Européenne (UE) :

  1. Légalité, équité, éthique, et transparence : toute utilisation ou traitement de données doit être légal, équitable, éthique et transparent pour la personne concernée.
  2. Limitation de la finalité : les entreprises ne peuvent utiliser les données qu’à des fins légitimes, telles qu’explicitement communiquées à la personne concernée lors de la collecte des données.
  3. Minimisation des données : les entreprises doivent collecter et utiliser le strict minimum de données pour la/les finalité(s) communiquée(s).
  4. Exactitude : les entreprises doivent veiller à ce que leurs données soient exactes et à jour.
  5. Limitation du stockage : les données à caractère personnel (DCP) peuvent être conservées uniquement pendant la durée nécessaire à la réalisation de l’objectif fixé. Elles doivent ensuite être supprimées de manière sécurisée ou rendues anonymes lorsqu’elles ne sont plus nécessaires.
  6. Intégrité et confidentialité : les entreprises doivent appliquer des mesures appropriées concernant la sécurité, l’intégrité et la confidentialité lorsqu’elles utilisent ou traitent des données.
  7. Responsabilité : l’entreprise doit être capable de prouver qu’elle respecte tous les principes précédents.

Pourquoi est-il important d’avoir une stratégie de protection des données ?

Les entreprises stockent généralement des données sensibles qu’elles traitent ou utilisent dans le cadre de leurs opérations. Ces données (dossiers employés, détails clients, propriété intellectuelle [PI], programmes de fidélité, transactions commerciales, etc.) doivent être gérées et protégées contre les acteurs malveillants (internes et externes) qui souhaiteraient les utiliser pour des raisons financières, de notoriété, de vengeance, ou pour d’autres raisons qui pourraient nuire à la fois aux personnes concernées par les données et à l’entreprise.

La protection des données est essentielle pour empêcher l’accès, l’utilisation ou la divulgation non autorisés de données privées. Elle minimise les conséquences négatives de la perte, du vol, de la compromission, de l’utilisation abusive ou de l’altération de données importantes. Parmi les techniques éprouvées de protection des données, citons la sauvegarde des données (si possible en continu) pour garantir que les données critiques sont préservées et peuvent être restaurées en minimisant l’interruption de l’activité, la création d’un air gap virtuel entre les données et les connexions réseau directes vers l’extérieur qui permettent d’isoler les données critiques et, surtout, la capacité de restaurer instantanément les données en limitant au maximum les pertes de données. Par exemple, en cas d’ouragan qui nécessiterait une reprise après sinistre, ou en cas de cyberattaque qui nécessiterait une restauration suite à une attaque par ransomware. Une stratégie solide de protection des données permet non seulement aux entreprises de restaurer leur activité en temps quasi réel, mais aussi de maintenir les applications stratégiques opérationnelles et de préserver la pérennité de l’entreprise.

Qu’est-ce que la loi sur la protection des données ?

Un certain nombre de lois ont été adoptées dans le monde pour traiter les questions de protection des données et de confidentialité.

Le règlement général sur la protection des données (RGPD) est considéré par beaucoup comme la loi de protection des données la plus stricte du monde. Bien que rédigé par et pour l’Union européenne (UE), il impose des obligations aux entreprises du monde entier qui collectent des données sur les résidents de l’UE. Le règlement est entré en vigueur le 25 mai 2018. L’UE n’a pas hésité à infliger des amendes sévères à toute entreprise qui enfreint ses normes de protection des données, avec des pénalités dépassant les dizaines de millions d’euros.

Les États-Unis ont un certain nombre de lois fédérales et étatiques qui ciblent différents secteurs et aspects de la protection des données, notamment les données relatives à la santé (HIPAA), les informations financières (PCI), ou les données collectées auprès des enfants ou les concernant. Certains états, notamment la Californie et son CCPA (California Consumer Privacy Act), ont adopté des lois strictes en matière de protection des données. Cependant, la protection des données aux États-Unis est très différente de celle de l’UE, car elle est décentralisée. Aucune autorité gouvernementale centrale n’impose de respecter les règles, donc les entreprises sont censées s’autoréguler. Du fait de cette approche quelque peu laxiste des réglementations en matière de protection des données, les entreprises peuvent, dans de nombreux états, utiliser, vendre ou partager des données sans en informer la personne concernée ni même tenir compte de son avis.

L’ADPPA (American Data Privacy and Protection Act) a été présenté à la Chambre des représentants des États-Unis en juin 2022. Ce projet de loi imposerait aux entreprises des obligations en matière de conservation et d’utilisation des données relatives aux consommateurs. Cette loi comportait de nombreux principes identiques à ceux du RGPD, à savoir la minimisation des données, la propriété individuelle et le droit d’action privé. La charge d’évaluer les programmes de chaque entreprise incomberait toutefois à l’entreprise elle-même. En d’autres termes, elle s’autorégulerait. Aucune action n’a été entreprise sur le projet de loi depuis son passage en commission.

Au Royaume-Uni, la loi qui régit la protection des données (Data Protection Act 2018) remplace une précédente loi adoptée en 1998 basée sur le RGPD de l’UE.

En Asie, les lois et réglementations relatives à la protection des données varient d’un pays à l’autre, chacun disposant de son propre cadre de gouvernance. Celles-ci évoluent sans cesse, donc les entreprises doivent impérativement suivre les exigences de chaque pays pour opérer dans ces juridictions. Ainsi, en 2020, la Chine, le Cambodge et le Sri Lanka ont proposé ou introduit des réglementations et des législations en matière de cybersécurité axées sur les informations personnelles. En Chine, la loi PIPL (Personal Information Protection Law) est entrée en vigueur le 1 novembre 2021. Au Japon, la protection des données est régie par l’APPI (Act on the Protection of Personal Information). La loi PDPA (Personal Data Protection Act) est en vigueur à Singapour, tandis que l’Inde a promulgué le projet de loi PDPB (Personal Data Protection Bill) en 2019.

Quelques exemples de protection des données

Certains exemples de protection des données suivent les cas d’usage les plus courants, et tous impliquent de combiner des personnes, des processus et des technologies :

Sauvegarde et restauration  : des catastrophes naturelles comme l’ouragan Florence ont causé des dégâts catastrophiques dans les états de Caroline en septembre 2018. Florence, un ouragan de catégorie 4 avec des vents de près de 240 kilomètres par heure ayant causé plus de 24 milliards d’euros de dégâts, a surpris les entreprises de l’intérieur des terres en raison de la vitesse à laquelle les eaux sont montées. Peu de personnes ont pensé à récupérer leurs supports de sauvegarde sur site alors qu’elles partaient se mettre à l’abri. Les entreprises ont ensuite pris conscience de l’importance des solutions de sauvegarde à plusieurs niveaux. Celles qui ont pu reprendre leurs activités le plus rapidement étaient en effet celles qui possédaient une solution de sauvegarde et de restauration moderne telle que le cloud. Étant donné que leurs données se trouvaient dans le cloud, elles pouvaient les restaurer de n’importe où, même si leurs locaux avaient été endommagés.

Protection contre les ransomwares, détection des menaces et restauration : sauvegarder les données ne suffit pas à les protéger. La rapidité avec laquelle les données peuvent être restaurées en cas de cybercrime ou de catastrophe naturelle est également d’une importance vitale. Dans une étude de l’ESG sur les ransomwares, 79 % des entreprises interrogées ont déclaré avoir subi une attaque par ransomware au cours de l’année écoulée. Il ne s’agit donc pas de savoir si ou quand le problème va survenir, comme c’est le cas pour une catastrophe naturelle mais sans avertissement. Les entreprises comprennent qu’il est normal de protéger les sauvegardes étant donné que des attaques par ransomware ciblent spécifiquement ces charges de travail/processus. Néanmoins, en restaurant rapidement leurs données, elles peuvent minimiser le temps d’arrêt et la perte de données, et continuer à fonctionner efficacement. Le risque de corruption, les conséquences potentielles en termes de conformité réglementaire, ainsi que les problèmes de non-respect des accords de niveau de service (SLA), et donc de satisfaction client, sont d’autant plus grands que les données restent inaccessibles longtemps. Une grande entreprise immobilière victime d’une attaque par ransomware a pu protéger et restaurer toutes ses données clients et métier en l’espace de trois heures, et éviter de payer la rançon demandée.

Conformité des données : les entreprises confrontées à ce cas d’usage ont besoin d’une solution de sécurité des données conçues sur les principes du Zero Trust. Celui-ci combine immuabilité, contrôles par Quorum, chiffrement des données, authentification multifacteur et contrôle d’accès granulaire basé sur les rôles pour empêcher les applications non autorisées et les acteurs malveillants de modifier ou d’effacer vos données.

Reprise après sinistre et continuité de l’activité : grâce à une protection continue des données, vos machines virtuelles (VM) VMware stratégiques bénéficient d’un RPO proche de zéro. Cela minimise la perte de données et optimise votre capacité à assurer la continuité de votre activité. Au lieu de sauvegarder ses données une fois par jour ou une fois par heure, une chaîne nationale de restaurants utilise une stratégie de gestion des données en continu qui consiste à sauvegarder ses données chaque fois que son système de point de vente (POS) est modifié. Chaque transaction effectuée dans chaque restaurant du pays est ainsi enregistrée dans un référentiel cloud distant. Et comme la solution conserve plusieurs versions de chaque fichier, la chaîne peut facilement « revenir » aux versions précédentes au cas où les données seraient infectées par un logiciel malveillant.

Rétention à long terme et archivage : une stratégie qui permet aux clients de conserver ou d’archiver leurs données de sauvegarde pendant de longues périodes (de quelques mois à plusieurs dizaines d’années) pour des raisons de référence, de conformité, de droit ou d’historique. Un important cabinet d’avocats avait besoin de conserver des données à long terme pour soutenir les litiges en cours, et a décidé d’opter pour le cloud afin de pouvoir y accéder rapidement et facilement en cas de demande urgente d’un client.

Cohesity et la protection des données

Les entreprises du monde entier rencontrent des difficultés considérables pour assurer la continuité de leurs opérations stratégiques. Le fait que les entreprises fonctionnent 24 h/ 24 et 7 j/ 7, et que la menace des cyberattaques soit de plus en plus forte, incite les clients à mettre davantage l’accent sur la résilience des données. Les silos de données et le manque de visibilité des données dans l’ensemble de l’entreprise (en local et dans le cloud), les incohérences dans la gestion et le stockage des données, ainsi que le manque d’interopérabilité entre les solutions de sauvegarde héritées et les technologies existantes exposent les entreprises à un risque de perte de données en cas de cyberattaque ou d’interruption de service. Ce risque accru, combiné à la taille et à l’étendue des patrimoines de données des entreprises, a suscité un besoin urgent de construire à l’échelle (par exemple, l’hébergement dans le cloud), tout en maintenant des coûts de données plus bas.

Cohesity DataProtect est une solution de sauvegarde et de restauration moderne de premier plan. Grâce à Cohesity, les clients peuvent protéger les données de l’entreprise à grande échelle, augmenter la résilience des données en minimisant considérablement le RPO et le RTO en cas de cyberattaque ou de panne, et réduire les coûts liés aux données. DataProtect fait partie d’une plateforme complète de sécurité et de gestion des données, le Cohesity Data Cloud, et offre les avantages suivants :

Augmenter la résilience des données. Les entreprises modernes ont besoin d’objectifs de point de restauration (RPO) granulaires, proches de zéro, et d’objectifs de délai de restauration (RTO) quasi-instantanés. Cohesity permet aux entreprises de restaurer leurs données à grande échelle en quelques minutes au lieu de quelques heures. Grâce à Cohesity, les entreprises bénéficient de snapshots entièrement hydratés, d’une protection continue des données (CDP) et d’une restauration flexible leur permettant de dépasser leurs SLA.

Réduire le TCO. Selon l’étude Forrester The Total Economic Impact Of Cohesity (en anglais), Cohesity réduit considérablement le coût total de possession en consolidant la protection des données de l’entreprise dans une seule plateforme à l’échelle illimitée, en minimisant les frais généraux et en diminuant considérablement les coûts de stockage des données.

Protéger les données de l’entreprise à une échelle illimitée. Cohesity fournit une solution de sauvegarde et de restauration de bout en bout qui permet de faire évoluer les données de votre entreprise de manière illimitée dans les charges de travail en local, dans le cloud et à la périphérie. Les entreprises peuvent prendre un grand nombre de snapshots grâce à des stratégies de rétention non plafonnées, et exploiter les snapshots de Cohesity grâce à une ingestion rapide et parallèle des données. Elles peuvent ainsi protéger leurs données et leurs applications aussi souvent qu’elles le souhaitent.

Bénéficiez d’une disponibilité, d’un accès et d’une restauration quasi instantanés des données, et accédez instantanément à vos données et applications à grande échelle sur l’ensemble de votre paysage de données, sans devoir attendre de réparer ou de restaurer le stockage d’origine, ni de déplacer les données vers un autre emplacement. Seule Cohesity vous permet de restaurer instantanément des milliers de VM et d’obtenir des temps de restauration proches de zéro pour les bases de données. Pour en savoir plus sur ces capacités uniques, cliquez ici :

You may also like

resource_pattern
Présentations des solutions

Sauvegarde et restauration modernes à l’ère du cloud

En savoir plus
cohesity-dataprotect-thumbnail-922x350
Fiche produit

Cohesity DataProtect: Available as a Service or Self-managed Software

En savoir plus
Tip Sheet

5 « Must-Have » pour Votre Prochaine Solution de Sauvegarde d’Entreprise

En savoir plus
5-ways-ransomware-backup-and-how-you-can-prevent-thumbnail-922x350
Tip Sheet

5 moyens par lesquels les ransomwares rendent vos sauvegardes inutiles

En savoir plus
X
Icon ionic ios-globe

Vous êtes sur le point de visualiser du contenu en anglais, souhaitez-vous continuer ?

Ne pas afficher cet avertissement

Icon ionic ios-globe

Vous êtes sur le point de visualiser du contenu en anglais, souhaitez-vous continuer ?

Ne pas afficher cet avertissement