De nos jours, les professionnels gèrent de nombreuses données de leurs clients. En tant qu’individu, nous fournissons régulièrement nos informations personnelles à de nombreuses entreprises, administrations ou associations. Selon le comparateur pour les professionnels et les entreprises « independant.io », le tissu économique français est constitué à 99,9% de TPE/PME en 2022. Et 33% d’entre elles utilisent des outils de collaboration professionnelle.
Depuis la crise COVID-19 et les confinements successifs, les entreprises ont pris conscience de l’accessibilité des applications basées sur le Cloud afin de favoriser le télétravail. Elles sont principalement attirées par l’accès aux données et aux applications depuis tout endroit ayant une connexion internet, le gain en temps et en productivité, les réductions de coûts de stockage des données, … Néanmoins, les TPE/PME migrent leurs données dans le Cloud sans forcément prendre conscience des risques qu’engendrent ce type de décision.
En 2021, 52% des TPE/PME/ETI ont été victimes d’attaques par rançongiciel. Ce chiffre ne concerne que les incidents traités par l’ANSSI. Ce qui pourrait laisser supposer que ce pourcentage soit bien plus élevé.
D’après une des publications 2021 du Baromètre “Data Breach” (3), « 2020 [a été] une année record pour les fuites de données », notamment pour les TPE/PME qui ont par conséquent subi « des impacts lourds en termes d’image mais aussi en perte d’exploitation » à la suite d’attaques par rançongiciel. La question aujourd’hui n’est plus de savoir si une entreprise sera victime d’une fuite de donnée, mais quand est-ce que cette fuite aura lieu ?
Fort de ces constats, la question suivante s’est posée : Comment aider les TPE/PME à prendre en compte la sécurité de leurs données avant de se décider à migrer dans le cloud, de sorte à garantir la protection de leurs données sensibles et critiques ainsi que la conformité réglementaire ?
Ce document vise modestement à donner quelques clés aux TPE/PME pour les amener à prendre leur décision de manière plus éclairée à travers les points suivants :
. Connaitre les technologies contemporaines et les écosystèmes associés au Cloud : IaaS, CaaS, PaaS, FaaS, SaaS, ainsi que les types de Cloud : privé, public et hybride
. Comprendre ce qu’est la donnée en intégrant la notion de classification
. Brosser le paysage réglementaire applicable à la donnée, ainsi que les impacts
. Fournir un guide pratique dont le processus est basé sur la méthode EBIOS Risk Manager
Aïda Sylla, Imad Laaroussi, Achille Moundanga, Brice de Rosier, Willbiro Nguttu
Auditeurs de la 2ème promotion Macyb de l’EGE