Comment estimer la valeur des données en entreprise

Une calculatrice est posée parmi des feuilles où des calculs complexes sont écrits
© FIN via Unsplash

Toutes les données ne se valent pas. Mais comment savoir lesquelles sont sensibles, stratégiques ou exposées aux risques les plus importants ? Comment estimer quelles données ont le plus de valeur pour l’entreprise ?

Identité et coordonnées des clients, bilans financiers, projets de développement… Une entreprise jongle avec quantité de données. Certaines sont stratégiques, d’autres sont sensibles, toutes présentent une certaine valeur. Oui mais laquelle ? Existe-t-il une valeur intrinsèque à chaque donnée ? Si oui, est-elle déterminée par des critères concrets, comme sa rareté ou sa fiabilité ? Ou plus abstraits, comme l’utilisation que l’entreprise peut en faire ? « La valeur d’une donnée est définie par une dimension objective et une dimension subjective, confirme Yassir Kazar, fondateur et P-DG de la start-up de cybersécurité Yogosha. La valeur objective réside dans le prix que le marché est prêt à payer pour la donnée. La valeur subjective est au contraire celle que l’entreprise qui détient la donnée ou celui qui cherche à la dérober lui attribuent. »

Cette subjectivité peut amener les dirigeants à faire de mauvais choix en matière de sécurité. Comme en immobilier, où des propriétaires surestiment leur bien auquel ils sont très attachés, « certains dirigeants surprotègent des données qu’ils considèrent comme primordiales et négligent la sécurité d’autres données qui présentent davantage de risques d’être compromises », observe l’expert.

Projeter une perte de contrôle

Pour bien évaluer la valeur des données, la première étape consiste à recenser l’ensemble des informations détenues par l’entreprise puis de s’interroger sur le préjudice subi si elle ne les détenait plus. « La perte, la destruction ou la divulgation de ces données engendrerait-elle un dommage pour l’activité de la structure ou le déroulement d’un projet ? Provoquerait-elle un impact financier, technique ou sur le personnel, en matière d’image et de réputation ? Influerait-elle sur la confiance des actionnaires ou des banques ? Ou générerait-elle une perte de confiance d’un client ou d’un partenaire important ? », liste Laurent Sarralangue, directeur du renseignement du cabinet de conseil Major Intelligence*.

Le géant Intel peut témoigner de la nécessité de l’exercice. En juillet 2020, un pirate dérobe et divulgue 20 gigaoctets de données jusqu’ici placées sous le sceau de la confidentialité : des documents techniques et plans de processeurs déjà sur le marché mais aussi des détails techniques sur les ordinateurs que la marque projetait de commercialiser quelques mois plus tard. Le cours de Bourse de l’entreprise perd alors près de 20% et elle devra attendre 18 mois avant que celui-ci ne retrouve son niveau d’avant l’incident.

Évaluer le niveau de risque

Charge donc aux entreprises de s’interroger sur les dommages qu’elles subiraient si elles perdaient le contrôle de leurs données. Cette évaluation est à croiser avec le niveau de risque encouru. « Il faut apprécier la probabilité de réalisation du risque », indique Laurent Sarralangue, en faisant notamment l’inventaire des droits d’accès et des conditions de sauvegarde. « Le classement obtenu permet de gérer ces données : savoir à qui en donner l’accès, à qui les diffuser, comment les archiver ou les reproduire. Les plus critiques doivent bien évidemment faire l’objet d’une protection renforcée. »

Et le danger dépasse le simple cadre des cyberattaques. L’incendie des serveurs de l’hébergeur français OVH a démontré que, privées de certaines données comme leurs bases de prospects ou leurs carnets de commandes, des entreprises ne pouvaient tout simplement pas continuer leur activité. Quel prix cela a-t-il ? C’est aujourd’hui aux assureurs et à la justice de trancher.

*Major Corp, qui édite le média Major, détient également le cabinet de renseignement, de protection des affaires et de formation Major Intelligence

à la Newsletter
Partager

Inscrivez-vous gratuitement à la newsletter de Major !

Major ne vendra pas votre e-mail et aucune pub ne vous sera envoyée. Vous pouvez vous désabonner à tout moment.