La majorité des entreprises n’ont pas mis en place de stratégie de gestion du cycle de vie des données complète ou cohérente, ni de plan indiquant comment et quand détruire les différents actifs de données. Au lieu de cela, de nombreux actifs sont simplement oubliés ou ignorés. Cependant, même si ces données ne sont pas utiles aux entreprises, les cybercriminels peuvent toujours les utiliser pour commettre des vols d’identité ou de propriété intellectuelle, ou pour recueillir des renseignements sur une cible spécifique. Et même si les données sont considérées comme "sans valeur" en interne, il existe toujours un risque d’atteinte à la réputation et d’amendes réglementaires en cas de violation ou de vol.

« Il est stupéfiant de voir le nombre d’entreprises qui paient des sommes considérables pour stocker des données qu’elles n’utiliseront jamais », déclare Gerald Delplace, AVP, EMEA South, Imperva. « Ces entreprises assument des coûts et des risques importants, mais les seuls à en profiter sont les cybercriminels. C’est pourquoi toutes les entreprises devraient envisager de se mettre à la diète en matière de données ».

Plusieurs mesures peuvent être prises par les entreprises pour réduire l’empreinte de leurs données :

• Élaborer une stratégie globale relative au cycle de vie des données : Avant toute collecte d’informations, les parties prenantes doivent être en mesure de répondre à des questions clés telles que : avons-nous besoin de collecter ces informations ? Comment seront-elles utilisées ? Qui y aura accès ? Combien de temps devons-nous les conserver ? Où doivent-elles être conservées ? Et quand et comment allons-nous nous en défaire ?

• Habiliter un Responsable de la Protection des Données (DPO) : Actuellement, un seul actif peut être soumis à plusieurs réglementations différentes, dont certaines peuvent être en conflit direct les unes avec les autres. Ainsi, la mise en place d’un programme de destruction des données inutiles doit être effectuée avec précaution. Les entreprises ont tout intérêt à recruter un DPO expérimenté et à lui fournir les outils et les ressources nécessaires pour prendre la direction des opérations.

• Détection et classification : Chaque entreprise doit procéder régulièrement à la recherche et à la classification des données afin de s’assurer que les stocks de données ne sont pas négligés, quelle que soit la valeur des données qu’ils contiennent. Une approche approfondie de la détection et de la classification peut permettre de découvrir un certain nombre de référentiels de données qui peuvent être supprimés, et d’empêcher les pirates d’utiliser les référentiels abandonnés comme base de travail pour planifier les attaques.

• Trouver des solutions simples : La destruction des données est un processus complexe et continu. Les entreprises devraient saisir toutes les occasions de tirer parti des solutions les plus avantageuses, comme la suppression automatique et permanente des courriers électroniques de la corbeille après un certain nombre d’années.