La valeur des données, un outil stratégique de la cybersécurité

jeudi, 01.11.2018

Nathalie Feingold*

Nathalie Feingold

A l’heure où la pression est forte sur les entreprises concernant la cybersécurité, le moment est opportun de s’interroger sur la valeur des données, notion complexe mais stratégique à plus d’un titre.

Les cyber risques portent atteinte aux données de l’entreprise et une gestion des risques ne saurait être réellement efficace sans une connaissance a priori de la valeur des données. Connaître la valeur des différentes données circulantes et stockées permet de calibrer les efforts de protection et d’ajuster les investissements en matière de cybersécurité, comme par exemple définir un budget de développement informatique ou négocier un contrat d’assurance cyber adaptés aux enjeux.

En effet, les données d’une entreprise sont hétérogènes et toutes ne nécessitent pas une protection renforcée. Citons le rapport mondial Databerg de Veritas selon lequel seules 15% des données stockées par les entreprises s’apparenteraient à des informations stratégiques. Les autres? Elles seraient redondantes, obsolètes, triviales ou obscures, l’entreprise n’en connaîtrait pas réellement le contenu. Investir dans des solutions de cybersécurité pour protéger les photos de vacances des collaborateurs, des doublons d’emails ou des adresses de livraison obsolètes paraît en effet absurde. Ces données sont à supprimer car d’une part, elles n’ont aucune valeur stratégique pour l’entreprise, et d’autre part, elles peuvent être source de coût (stockage, compliance etc.).

Au contraire, la lutte contre la cybercriminalité doit se concentrer sur les données dites stratégiques. Soit parce que leur perte peut être coûteuse ou dommageable pour l’image (données sensibles par ex.) ou pour la stratégie de l’entreprise (secret de fabrication par ex.). Soit parce qu’elles ont une valeur économique. Mais comment évaluer des données? Pour répondre à cette question complexe et identifier des axes d’analyse, plusieurs méthodes existent, à commencer par les théories classiques de la valeur qui sont un point de départ intéressant.

La valeur-travail évalue le travail nécessaire pour créer la donnée: capital humain, financier, temps de production (on pense à la valeur liée à la profondeur d’historique d’une base de données) sont autant de critères à prendre en compte pour déterminer la valeur des données. La valeur-utilité lie, plus subjectivement, la valeur des données à la plus-value potentielle liée à leur exploitation. Par extension, elle lie la valeur des données aux pertes d’exploitation qui seraient consécutives à un empêchement d’atteindre ou d’exploiter les données pendant une heure, une journée ou une semaine, notion vraisemblable en cas de cyberattaque. Dans cette lignée, le Corporate Data Quality Competence Center (CC-CDQ) distingue l’approche coûts (production à l’identique des données) de l’approche revenus (gains d’exploitation des données).

A l’ère de la data economy, les données s’évaluent également selon leur valeur d’échange qui dépend de multiples paramètres liés à l’offre, à la demande et à l’efficacité des marchés, tels que la qualité ou l’ubiquité des données.

En conclusion, la valeur des données est une notion complexe que l’on peut analyser sur plusieurs axes, mais stratégique qui mérite que l’on s’y attèle afin de calibrer les efforts de protection et d’ajuster les investissements en matière de cybersécurité.

* Fondatrice de npba






 
 

AGEFI



...