Nous savons tous (et en avons manifestement assez de l'entendre) que, dans le paysage technologique global actuel, le risque de piratage informatique ne cesse de croître.
Les attaques sont de plus en plus sophistiquées, mais nombreuses d'entre elles pourraient être évitées par l'élimination d'erreurs humaines, le chiffrement des données ou une formation efficace de sensibilisation à la sécurité. Il est donc logique d'éliminer les points faibles potentiels et le processus de transfert de fichiers, très souvent, en fait partie. Plutôt que de revenir sur les dangers des données mobiles par rapport aux données pendant leur stockage, de l'informatique parallèle, ou des attaques d'ingénierie sociale, partons du principe que les entreprises souhaitent protéger leurs informations sensibles et celles de leurs clients, fournisseurs et autres contacts.
Si vous gérez des transactions effectuées avec des cartes de crédit, il vous faut respecter la norme PCI-DSS ; si vous traitez des données cliniques telles que des dossiers médicaux, vous devez alors vous conformer à la norme HIPAA et probablement à la norme PCI-DSS aussi. Selon la juridiction ou la législation en vigueur dans le pays concerné, la conformité avec la réglementation sur le vol d'identité ou la confidentialité des données est également exigée. L'Université de Caroline du Nord offre une excellente liste d'exemples de données sensibles.
Qu'il s'agisse d'informations personnelles identifiables, d'informations de santé protégées, ou de données des employés, toutes ces informations sensibles, si elles tombent entre de mauvaises mains, peuvent vous nuire.
Les données doivent être partagées
Principal problème : généralement, ces données sont partagées et pas toujours de manière efficace. Dans les secteurs de la banque, de la finance et de l'assurance, un large éventail de données sont partagées dans le cadre des flux d'affaires. Pour effectuer les vérifications de solvabilité, par exemple, les banques doivent partager leurs données et, en toute logique, l'agence Equifax a été la cible de pirates en 2017 (mettant en péril les données sensibles de 143 millions d'américains).
Les rapports financiers, relevés de comptes clients, mises à jour de comptes et autres documents sont partagés entre les banques ou sauvegardés sur un serveur central. Avec l'émergence des fintech, des paiements intelligents et d'autres services financiers, le partage de données s'étend encore davantage. Les analyses, les flux de données volumineuses et le marketing ciblé qui en résulte ne font que prolonger cette tendance.
La santé fait aussi partie des principaux secteurs visés, dans la mesure où les fournisseurs ont l'habitude de conserver et partager avec des compagnies d'assurance ou le corps médical des données cliniques et financières qui sont nécessaires pour les consultations et l'amélioration du niveau des soins prodigués. Si un fournisseur n'est pas impliqué dans les soins du patient, les informations cliniques (dont sont exclues les informations personnelles identifiables) peuvent être partagées sans l'autorisation du patient. Vu le pouvoir d'attraction de la cible, il n'est pas étonnant que de nombreuses attaques aient eu lieu dans le secteur de la santé en 2018.
Comme les pirates, j'ai accordé mon attention aux secteurs de la finance et de la santé, mais le problème concerne également tous ceux qui gèrent des données sensibles. Et la question est : pour qui ce n'est pas le cas ? Partagez-vous des données sensibles avec d'autres parties prenantes ? Si la réponse est oui, il est temps de remettre en question votre processus de transfert de fichiers. Les réglementations en vigueur n'indiquent pas aux organisations comment sécuriser les données ; c'est à elles de s'en acquitter avec la diligence requise, ou d'être sanctionnées en cas de non-conformité. Au vu de la large médiatisation des nombreux cas de violation de confidentialité dans tous les secteurs, l'ignorance n'est pas une excuse.
Pourquoi ne pas sécuriser les transferts de fichiers ?
Les entreprises doivent s'intéresser aux moyens de protéger les données sensibles, tout en ne retenant que des solutions qui améliorent leur efficacité, ainsi que les opérations et les processus. La conformité aux normes et réglementations en vigueur, qui varient selon le secteur et le lieu d'activité, est également nécessaire. Une solution de transfert de fichiers efficace est capable de répondre à toutes ces exigences, même si l'infrastructure existante est vieillissante (ce dont se plaignent souvent les banques), et quel que soit le type de plateforme utilisée ou la taille de l'entreprise.
Pourquoi ne pas éliminer les tâches répétitives et chronophages en les automatisant, de manière à libérer du temps pour les activités qui nécessitent une intervention manuelle ? Pour moi en tout cas, cela semble logique. L'automatisation des tâches de transfert de fichiers (plutôt qu'un partage des fichiers n'importe comment par e-mail, dans le cloud ou dans des pièces jointes via une application VoIP) offre, mais sans s'y limiter, les avantages suivants :
- Un contrôle centralisé
En faisant appel à des équipes dédiées (sélectionnés avec attention et affichant une ambition mesurée) responsables de l'élaboration, de la planification et de la gestion des transferts de fichiers, vous limiterez le risque d'erreurs humaines causées par la saisie de données répétitives. Les transferts de fichiers peuvent également être gérés par lots à intervalles réguliers.
- Une solution pour tous les transferts
Plutôt que de se disperser avec une multitude d'options, les utilisateurs n'ont besoin que d'un programme de transfert de fichiers bien ciblé. Résultat : moins de confusion et une réduction des doublons ou omissions dans les transferts.
- Une sécurité renforcée
Les données sont chiffrées tout au long du parcours des fichiers, avec confirmation de la livraison au destinataire autorisé et des journaux complets documentant chaque transfert.
- Une visibilité en temps réel
Le statut des transferts de fichiers est visible et des mesures, en cas d'alerte pour échec de remise par exemple (en raison d'une perte de connexion ou d'autres interférences) peuvent ainsi être prises immédiatement.
- Une efficacité accrue
Lorsque les transferts sont automatisés, les administrateurs gagnent du temps et se consacrent davantage à la création de déclencheurs et d'alertes qui complètent les processus de transfert de fichiers existants. Même si certains transferts ne sont pas automatisés, il est toujours possible de renforcer le contrôle des transferts manuels, qu'il s'agisse de fichiers volumineux ou d'envois ponctuels planifiés.
- La possibilité d'une automatisation multiutilisateurs
Les administrateurs peuvent facilement créer des déclencheurs par utilisateur. Cette fonction est particulièrement utile pour les mises à jour de bases de données ou les sauvegardes quotidiennes de fin de journée sur un serveur central.
- Une conformité simplifiée
Tous les mouvements étant suivis et enregistrés dans un fichier journal (non éditable), la conformité à un large panel de réglementations est possible.
- Une piste d'audit
Avec une solution gérée de transfert de fichiers, chaque composante du transfert est entièrement vérifiable, notamment l'expéditeur, la date d'expédition et le destinataire. Dans le cas d'une violation de données, il s'agit d'un gain de temps considérable dont il est impossible de profiter avec les méthodes de transfert traditionnelles. Cet avantage permet également d'éviter les sanctions financières et les atteintes à la réputation qui découlent souvent d'attaques qui atteignent leur but.
En conclusion, à moins que vous ne préfériez opter pour la prolifération des serveurs et la gestion des scripts FTP, on ne peut ignorer que seule une solution gérée de transfert de fichiers permet d'automatiser les transferts de fichiers. Avec la multiplication des exigences en matière de conformité, chaque entreprise doit tenir compte de l'impact d'une violation de données dans l'esprit de ses clients. En effet, la confiance est une valeur que les entreprises ne peuvent ignorer car, une fois perdue, peu d'entre elles parviennent à la retrouver. En tant que consommateur d'un large choix de services, j'attends de toutes les entreprises avec lesquelles je suis en affaire qu'elles protègent mes informations personnelles. Si mes données sont compromises, et que je découvre ultérieurement que les entreprises que j'ai choisies n'ont pas appliqué une politique de sécurité fiable, il sera facile pour moi de choisir un autre service… et de faire appel à un avocat.
Automatisez vos flux de travail sans devoir recourir à des scripts. Testez MOVEit Automation
Qu'en pensez-vous ? Les entreprises sont-elles obligées de protéger leurs données dans un coffre-fort (même s'il est virtuel), uniquement pour y accéder ou les partager dans le cadre de leur activité, ou ont-elles la possibilité de les utiliser pour en extraire toutes les informations utiles et les partager selon leurs besoins à des fins de marketing ?