Quand les systèmes de sauvegarde perdent la trace de vos données : pourquoi les entreprises ont besoin d’un plan de contrôle des données
Les systèmes de sauvegarde et de snapshots créent des copies de données qu'ils ne peuvent contrôler. Cela engendre des problèmes de conformité, une surcharge de stockage et des ensembles de données d'entraînement pour l'IA peu fiables. Un plan de contrôle des données assure la découverte, la classification, l'application des politiques et la suppression sécurisée des données sur toutes les copies, quel que soit leur emplacement et sur toutes les plateformes.
À retenir
- Le problème centralLa prolifération des copies s'étend aux instantanés, aux sauvegardes, aux réplicas et aux archives, mais la visibilité et l'application des politiques restent inchangées.
- La réalité de la conformitéLes réglementations et les normes exigent de plus en plus un contrôle vérifiable, une auditabilité et une élimination sécurisée des données et des supports.
- La réalité de l'IALes initiatives en matière d'IA échouent lorsque les équipes ne peuvent pas prouver quelles données figurent dans l'ensemble d'entraînement, qui peut y accéder et si elles contiennent du contenu réglementé.
- La solutionUn plan de contrôle des données unifie la découverte, la classification, la conservation, la mise sous séquestre légal et la suppression des preuves à travers les systèmes.
- RésultatsPréparation à l'audit, réduction des risques et base de données fiable pour l'IA d'entreprise.
L'explosion invisible des données
Les infrastructures modernes créent des copies de données par conception : instantanés pour une restauration rapide, sauvegardes pour la protection, réplication pour la résilience et archivage pour la maîtrise des coûts. Le problème est que la plupart des organisations ne peuvent répondre à une question simple :
Combien de copies de ces données existent, et lesquelles puis-je supprimer sans risque ?
Lorsque la réponse est inconnue, les données deviennent un frein opérationnel et un risque de non-conformité. Elles constituent également un handicap pour l'IA, car les processus d'apprentissage héritent de toutes les données existantes, y compris les doublons, les enregistrements obsolètes et les contenus réglementés.
Définir les termes
Le RGPD est le Règlement général sur la protection des données de l'UE. La loi HIPAA est la loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie. Les données personnelles identifiables (DPI) sont des informations permettant d'identifier une personne. Les données de santé protégées (DSP) sont des informations de santé protégées.
DSPM signifie Data Security Posture Management (Gestion de la posture de sécurité des données), une catégorie axée sur la découverte et la classification des données sensibles, ainsi que sur l'évaluation de leur exposition. Gartner décrit le DSPM comme la découverte de données inconnues dans les environnements sur site et cloud, leur catégorisation et leur classification, puis l'évaluation des risques d'accès et d'exposition. Source.
Pourquoi les outils de sauvegarde et de création d'instantanés ne peuvent pas résoudre ce problème à eux seuls
Les outils de sauvegarde sont conçus pour protéger et restaurer les données. Ils ne sont pas conçus pour comprendre leur contenu, leur propriété, les obligations de conservation ni les contraintes légales. En pratique, ils enregistrent la date et le lieu de création d'une copie, mais pas son contenu ni les raisons de sa conservation.
Systèmes de sauvegarde vs Plans de contrôle des données
| Capability | Systèmes de sauvegarde/instantané | Plan de contrôle des données |
|---|---|---|
| Protection et restauration | Solide et spécifique à la plateforme | Fonctionne en complément des outils de sauvegarde existants |
| Inventaire multiplateforme | limité à la vue de cet outil | Catalogue unifié pour le stockage, la sauvegarde, l'archivage et le cloud |
| Classement du contenu | Généralement minimes ou inexistants | Identifie les informations personnelles identifiables (IPI), les informations de santé protégées (ISP), les dossiers réglementés et les contenus sensibles. |
| Conservation et détention légale | Souvent basés sur le temps et cloisonnés | Mise en place de mesures de rétention et de conservation des données fondées sur des politiques dans tous les systèmes |
| Suppression justifiée | Difficile de prouver l'intégralité | Preuves d'audit attestant que la suppression était complète et conforme aux politiques en vigueur |
| Préparation à l'IA | Les données peuvent être non classifiées ou obsolètes. | Ensembles de données gouvernés avec traçabilité, contrôles d'accès et preuves |
Pourquoi cela enfreint les règles de conformité, de sécurité et d'IA
Les autorités de réglementation et les auditeurs exigent de plus en plus un contrôle vérifiable de l'emplacement des données et de leur évolution dans le temps. L'article 17 du RGPD établit le droit à l'effacement. Article 17 du RGPD.
Dans le domaine de la santé, la loi HIPAA comprend des garanties obligatoires et des exigences en matière d'élimination, y compris des politiques et des procédures pour l'élimination finale des informations de santé électroniques protégées (ePHI). 45 CFR 164.310Le HHS insiste également sur les mesures de protection en matière d'élimination et sur la suppression des données de santé électroniques protégées avant leur réutilisation ou leur élimination. FAQ du HHS.
Dans le secteur des services financiers, les exigences de tenue de registres de la règle 17a-4 de la SEC comprennent des attentes concernant la préservation des enregistrements et, dans les directives mises à jour, une alternative de piste d'audit au stockage non réinscriptible, mettant l'accent sur l'auditabilité et la reproductibilité. Conseils SEC.
En matière d'élimination sécurisée des données, le NIST fournit des conseils pratiques pour les décisions relatives à l'effacement sécurisé des supports, y compris les processus et les exigences en matière de documentation. NIST SP 800-88 Rév. 1.
Un mini-scénario concret
Un client soumet une demande de suppression de données personnelles (PII) conformément au RGPD. L'enregistrement de production est rapidement supprimé, mais des copies de ces mêmes données subsistent : dans une chaîne d'instantanés hebdomadaires, un référentiel de sauvegarde mensuel et une copie d'archivage créée à des fins d'optimisation des coûts.
Sans catalogue et classification multiplateformes, l'organisation ne peut prouver que toutes les copies ont été identifiées, conservées correctement ou supprimées lorsque cela était autorisé. C'est ainsi que les demandes de suppression deviennent une source de problèmes lors d'un audit.
La couche manquante : un plan de contrôle des données
La solution pratique ne consiste pas à remplacer les sauvegardes, mais à ajouter la couche de gouvernance manquante qui couvre tous les systèmes et toutes les copies. Cette approche s'inscrit dans la tendance générale du secteur vers des couches de découverte et de classification telles que DSPM, qui mettent l'accent sur l'identification des données sensibles dans différents environnements et l'évaluation des risques d'exposition. Présentation d'IBM.
Comment fonctionne un plan de contrôle de données
- DécouverteSe connecte au stockage, à la sauvegarde, aux archives et au cloud pour constituer un inventaire complet des copies.
- Classification: Identifie les contenus sensibles tels que les informations personnelles identifiables (IPI) et les informations de santé protégées (ISP) et définit les obligations applicables.
- L'application de la politiqueApplique de manière cohérente les règles de conservation, de mise sous séquestre légal et de contrôle d'accès à l'ensemble des systèmes.
- Preuves d'audit et de suppression: Fournit aux auditeurs et aux organismes de réglementation la preuve des actions menées et de l'exhaustivité des suppressions.
Où Solix trouve sa place
Les entreprises qui parviennent à résoudre le problème de la prolifération des copies partagent une approche commune : elles dissocient la gouvernance des mécanismes de stockage. La mise en œuvre d’un plan de contrôle des données nécessite une plateforme capable de gérer des environnements hybrides complexes, incluant le stockage, la sauvegarde, l’archivage et le cloud.
Le Plateforme de données unifiée Solix elle fournit cette couche en assurant la découverte, la classification, l'application des politiques et l'auditabilité des données d'entreprise, y compris dans les secteurs réglementés où la preuve est importante.
Pour les organisations qui développent des programmes d'IA, Solix propose également une infrastructure d'IA prête à l'emploi et gouvernée, alignée sur les initiatives d'IA des entreprises modernes. En savoir plus sur IA d'entreprise Solix.
Foire aux questions
Mes données de sauvegarde sont-elles soumises au RGPD ou aux demandes de suppression pour des raisons de confidentialité ?
Souvent, oui. L'article 17 du RGPD établit le droit à l'effacement. La difficulté pratique consiste à prouver que vous avez identifié et traité toutes les copies pertinentes dans tous vos systèmes. Article 17 du RGPD.
Quelle est la différence entre la sauvegarde des données et la gouvernance des données ?
La sauvegarde permet de restaurer les données. La gouvernance consiste à identifier les données existantes, à les classer, à contrôler leur accès, à appliquer les règles de conservation et de blocage, et à produire des pistes d'audit fiables.
Comment un plan de contrôle des données fonctionne-t-il avec mon logiciel de sauvegarde existant ?
Il le complète. Les outils de sauvegarde continuent d'assurer la protection et la restauration. Le plan de contrôle ajoute la découverte, la classification, l'application des politiques et la génération de rapports fiables entre les systèmes.
Qu'est-ce qu'une suppression justifiable ?
La suppression justifiée signifie que vous pouvez prouver, preuves à l'appui (éléments supprimés, raison, date) et que la suppression a été complète sur toutes les copies concernées. Les recommandations relatives à l'élimination sécurisée des données sont généralement conformes aux principes de la publication spéciale 800-88 du NIST. NISTSP 800-88.
Est-il possible d'entraîner des modèles d'IA sur des données de sauvegarde ?
C'est possible, mais risqué sans gouvernance. Les référentiels de sauvegarde peuvent contenir des données réglementées et des doublons inconnus. Une couche de gouvernance permet de valider la classification, les contrôles d'accès et la traçabilité avant utilisation.
Reprenez le contrôle de vos copies de données
Si les sauvegardes et les instantanés créent des copies incontrôlées, la solution n'est pas d'augmenter le stockage. La solution réside dans une gouvernance globale qui s'étend à tous les systèmes et fournit des preuves exploitables en vue d'un audit.
Voir la Démo du Produit | Explorez Solix Enterprise AI
Note de transparence : Cet article décrit un défi courant en entreprise et une approche basée sur une plateforme pour le résoudre. Les exigences de conformité spécifiques varient selon la juridiction et le secteur d’activité et doivent être validées par des experts juridiques et réglementaires qualifiés.
Articles similaires
Norme ISO/CEI 42001 relative aux systèmes de management de l'IA : Date de publication et champ d'application
Renseignement en sources ouvertes (OSINT) : comment les entreprises transforment les données publiques en IA et en renseignements sur les risques contrôlés
