Dans la première partie de cet article, nous avons vu que la Covid-19 a forcé la main de beaucoup d’organisations parfois prises au dépourvu, et qui ont dû mettre en place dans l’urgence du télétravail pour tout ou partie de leurs équipes.
Nous avons vu que cette crise sanitaire s'est accompagnée d'un explosion des cyberattaques et qu'il était plus que jamais nécessaire de préparer l'entreprise à plus de résilience en ayant un solide plan de protection de ses outils de travail doublé d'un plan de continuité de son activité.
Dans cette seconde partie, nous tirons également des conséquences d'ordre plus global sur le contrôle de l'entreprise sur ces données et sa capacité à rester indépendante.
***
Nul doute que toutes les organisations européennes sont au fait des principales obligations instaurées par le RGPD. Censé à la fois garantir le droit fondamental de la protection des données personnelles des citoyens européens, il est également une illustration du soft power de l’UE en matière de numérique. En réponse les États-Unis ont fait voter le cloud act, censé leur garantir une certaine souveraineté sur toutes les données possédées par une entreprise américaine sur leur territoire ou non.
En plus de rentrer en contradiction avec l’article 48 du RGPD qui prévoit que le transfert de données personnelles ne peut être demandé par un État tiers qu’en vertu d’un accord international, il montre que la question de la souveraineté des données s’immisce jusque dans la politique internationale. Questions que les organisations de toutes tailles devraient également se poser.
En tant que responsable de traitement des données :
* Êtes-vous en mesure d’identifier et de contrôler l’emplacement physique du stockage de vos données ?
* Êtes-vous en capacité de lire, modifier, supprimer les données utilisateurs ?
* Si oui êtes-vous en mesure d’en garantir l’intégrité ?
* In fine, possédez-vous une copie non altérable des données ?
Cette capacité que vous avez à garantir disponibilité, accessibilité, intégrité et confidentialité des données utilisateur vient en grande partie de celle que vous avez à rétablir, voire préserver l’activité en cas d’incident.
Cette souveraineté sur les données ne doit pas seulement s’opérer au niveau de l’organisation, mais également sur des ensembles plus restreints.
Comme l’indépendance du collaborateur sur son activité. Que soit au bureau, en déplacement ou en télétravail, garantir l’indépendance de l’utilisateur sur son activité reste un point important. Il faut par exemple qu’un commercial en déplacement puisse retrouver un contrat client supprimé ou modifié par erreur. C’est dans ce genre des situations très communes qu’un outil de sauvegarde adapté à vos besoins fera la différence. Il ne suffit pas de se limiter à un stockage uniquement accessible sur site qui répondra à un sinistre majeur. Vous le savez, les petits incidents sont beaucoup plus courants et sur le long terme, ils ont un impact négatif réel sur l’activité de l’organisation.
Privilégiez toujours une solution de sauvegarde qui permet de restaurer depuis n’importe où et rapidement, inutile de mobiliser d’importantes ressources si l’utilisateur est autonome sur sa restauration.
Les processus de gestion de crise doivent, dans les meilleurs des cas, être mis en place en amont de la crise, mais ils peuvent également résulter d’une prise de conscience face à un évènement tel qu’aujourd’hui. La cyberésilience en particulier s’inscrit pleinement dans une stratégie de cybersécurité qui s’articule, pour les systèmes d’information, autour de 5 piliers fondamentaux : préparation, protection, détection, réponse et restauration.
La sauvegarde des données stockées sur les postes de travail nomades vient donc s’inscrire dans cette stratégie de préparation afin d’être capable de répondre aux besoins de restauration post sinistre.
Loin de tout fatalisme, ces processus visent donc au contraire à réduire l’impact sur les organisations des incidents à venir et renforcer leur capacité à faire face à l’imprévu.
***
A lire aussi :