Quand les plateformes d'analyse exposent vos donnees : lecons sur la souverainete et le controle des donnees

Une recente fuite tres mediatisee d'une plateforme d'analyse sert de rappel brutal d'une verite bien connue : quelle que soit la confiance ou la qualification du fournisseur, l'externalisation introduit toujours un certain niveau de risque.

La fuite et son impact commercial

Une grande plateforme d'analyse d'entreprise a fait les gros titres quand une erreur de mise a jour a provoque l'apparition de donnees d'analyse proprietaires dans les tableaux de bord de clients non lies. Pendant une breve periode, des comptes utilisateurs et des informations personnelles circulaient hors du controle des organisations qui en etaient proprietaires.

Les informations divulguees comprenaient des termes de recherche, des donnees de domaine et des structures de navigation -- des donnees que nombre de ces entreprises etaient legalement tenues de proteger en vertu des lois sur la protection des donnees.

Le fournisseur a annule le changement et resolu le probleme dans les 24 heures. Si cela a regle le probleme immediat, les impacts reglementaires, de gouvernance et operationnels pour les organisations affectees persistent.

Consequences en matiere de conformite

Les plateformes d'analyse collectent des donnees demographiques et comportementales qui peuvent re-identifier des individus lorsqu'elles sont combinees, c'est pourquoi ces donnees sont protegees par le RGPD.

Dans les incidents ou des donnees personnelles, des informations personnellement identifiables (PII) ou des ensembles de donnees sensibles sont exposes, peu importe que l'exposition soit intentionnelle ou accidentelle. L'organisation proprietaire des donnees en est toujours responsable, meme quand la gestion ou la securite est externalisee a un tiers.

Toute exposition, fuite ou autre incident de securite impliquant ces types de donnees declenche automatiquement des exigences de declaration, juridiques et de divulgation obligatoires.

Infrastructure partagee signifie risque partage

Les incidents de cybersecurite et les fuites de donnees ne sont pas toujours le resultat d'acteurs malveillants ou de vulnerabilites de securite. Dans les environnements partages, les erreurs au niveau du systeme peuvent franchir les frontieres organisationnelles. Cela peut exposer des informations proprietaires, des insights de campagne et des attributs clients a des concurrents, ou les faire disparaitre completement.

Lorsqu'on gere une infrastructure partagee et des donnees personnelles, un dysfonctionnement chez un locataire peut avoir des consequences de gouvernance et de conformite pour des milliers d'autres.

Integrite des donnees et contamination

Quand des donnees inconnues s'injectent dans les reseaux ou systemes organisationnels, la contamination peut se propager rapidement. Les rapports deviennent fausses, les tableaux de bord sont deformes, et les organisations se retrouvent a corriger des problemes qu'elles n'ont pas causes.

Maintenir un controle direct sur votre environnement d'analyse est la protection la plus efficace contre la propagation de donnees indesirables a travers les divisions et les frontieres juridictionnelles.

Gouvernance et responsabilite

Les fournisseurs gerent les donnees en votre nom, mais ils n'en sont pas ultimement responsables. Les organisations sont toujours responsables de la protection de leurs donnees, meme quand leur gestion, leur traitement ou leur securite est externalise.

Les systemes sur site sont les protections les plus efficaces. En gardant les flux de donnees critiques en interne, les organisations minimisent le risque d'exposition des donnees.

Souverainete des donnees : un plan d'action a 90 jours

Jour 1-30 : Alignement

• Cartographier ou resident vos donnees et qui y a acces
• Revoir les contrats fournisseurs et les accords de traitement pour les clauses de residence et de separation des locataires
• Effectuer des evaluations de risques fournisseurs

Jour 31-60 : Renforcement

• Demander aux fournisseurs une documentation sur la segregation des locataires et les processus de reponse aux incidents
• Creer une carte de souverainete montrant les emplacements de stockage, les flux et les juridictions
• Mettre a jour les contrats et la documentation d'approvisionnement pour inclure des dispositions explicites concernant la residence et la responsabilite

Jour 61-90 : Resilience

• Creer un tableau de bord de souverainete pour suivre les fonctions externalisees et les risques associes
• Developper une feuille de route pour rapatrier les categories a haut risque en interne
• Effectuer des revues periodiques pour surveiller et communiquer les progres

Prioriser la vie privee et la souverainete des le depart

Cette fuite n'avait rien a voir avec la qualite des produits du fournisseur. La realite est qu'il y aura toujours des risques inherents dans les analyses hebergees dans le cloud. Meme les fournisseurs les plus fiables peuvent subir des defaillances qui poussent les donnees sensibles des clients hors de tout controle.

S'orienter vers des systemes souverains et sur site est la voie la plus claire vers la souverainete des donnees. Les plateformes d'analyse web open-source qui offrent un veritable deploiement sur site vous permettent d'integrer la protection de la vie privee et la responsabilite directement dans vos operations.

La prochaine etape est simple : rapatriez vos flux de donnees a plus haut risque en interne et faites de la vie privee et de la souverainete une fonction integree de votre organisation.