Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > L’angle mort de la découverte des données qui prend les entreprises au dépourvu — et comment y remédier

L’angle mort de la découverte des données qui prend les entreprises au dépourvu — et comment y remédier

par Bob Ertl updated juin 5, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 7 minutes

Le shadow data n’est pas avant tout un problème technique. Il s’agit d’un problème de gestion du changement organisationnel qui prend la forme d’un enjeu technique. Les migrations vers le cloud laissent des données derrière elles. Les environnements de développement sont créés à partir de copies de données de production pour les tests et ne sont jamais nettoyés. Des buckets de stockage cloud sont provisionnés pour un projet, remplis, puis oubliés à la clôture du projet. Des applications SaaS sont remplacées, mais les fichiers d’export issus de la transition restent dans des dossiers partagés que plus personne ne gère, car leur créateur a quitté l’entreprise.

Rien de tout cela n’a rien d’inhabituel. Ce sont des événements organisationnels courants. Le problème, c’est que les processus de gouvernance des données dans la plupart des organisations ne sont pas conçus pour y répondre en temps réel. Les cadres de gouvernance des données qui reposent sur des audits périodiques et des mises à jour manuelles des catalogues ne suivent pas la réalité opérationnelle. Lorsque l’audit suivant repère enfin le bucket abandonné ou l’export hérité, les données sont là depuis des mois.

Les outils DSPM apportent une aide grâce à la découverte automatisée, mais sans application des règles, la découverte ne suffit pas. Identifier le shadow data permet de localiser le problème existant. Cela n’empêche pas le prochain projet de reproduire le même problème ailleurs. L’architecture de gouvernance doit traiter les deux aspects : il faut intégrer les règles dans les processus de création et de déplacement des données, et pas seulement dans ceux qui les analysent a posteriori.

5 points clés à retenir

1. Les analyses de découverte révèlent régulièrement des données que l’organisation croyait supprimées.

Des buckets de stockage cloud abandonnés, d’anciens environnements de développement et des exports SaaS hérités contiennent régulièrement des données sensibles de clients que l’organisation pensait avoir supprimées. Avani Desai, CEO de Schellman, l’a constaté à de nombreuses reprises : les organisations surestiment la fiabilité de leur cartographie des données et sous-estiment la rapidité avec laquelle les changements opérationnels dépassent la gouvernance. Chaque migration cloud, acquisition, retrait d’une solution SaaS ou réorganisation d’infrastructure produit une cartographie des données qui ne reflète plus la réalité.

2. Les opérations de fusion-acquisition créent des risques de responsabilité liés aux données que les acquéreurs sous-estiment systématiquement.

Lorsqu’un acquéreur rachète une entreprise, il récupère tout ce que l’entreprise a créé, collecté ou stocké — y compris les données issues d’acquisitions antérieures, de systèmes hérités non consultés depuis des années, et des données clients sans politique de conservation documentée. Les analyses de découverte post-clôture révèlent des ensembles de données dont le vendeur ignorait l’existence. Conséquence : obligations potentielles de notification de violation de données au titre du RGPD, des lois locales sur la confidentialité ou d’HIPAA — et des retards d’intégration non anticipés lors de la due diligence.

3. Le manque de responsabilité favorise l’accumulation de shadow data.

« Qui est responsable de la validation de votre cartographie des données après un changement opérationnel ? » La plupart des organisations sont incapables de désigner un propriétaire clair. La responsabilité se situe entre l’IT, le juridique, la conformité et la sécurité — chacun ayant des missions connexes, mais personne n’assumant la tâche précise de rapprocher la cartographie des données de l’infrastructure actuelle après chaque changement majeur. C’est précisément dans cet intervalle que le shadow data s’accumule : entre le changement opérationnel et la prochaine revue de gouvernance.

4. Une gouvernance superposée à l’architecture ne suit pas le rythme.

Les exercices de conformité ponctuels produisent des cartographies de données exactes qui deviennent obsolètes dès la migration, l’acquisition ou le retrait d’un système suivant. Les outils DSPM aident grâce à la découverte automatisée, mais sans application des règles, la découverte ne suffit pas — identifier le shadow data permet de localiser le problème existant, mais ne prévient pas la reproduction du problème lors du projet suivant.

5. Une gouvernance intégrée à l’architecture résout ce que la gouvernance rétroactive ne peut pas.

Lorsque la politique est appliquée au moment de l’échange de données, chaque transaction est déjà documentée. La cartographie des données devient un sous-produit des opérations, et non un exercice distinct. Les principes de protection des données Zero trust exigent que chaque demande d’accès, de déplacement ou de partage de données soit vérifiée, autorisée et consignée — générant ainsi une cartographie continue des données comme effet structurel.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Le problème des données dans les fusions-acquisitions cache un enjeu de notification de violation

Les fusions-acquisitions sont le terrain où les échecs de gouvernance des données se traduisent le plus directement en risques juridiques et financiers. Lorsqu’un acquéreur rachète une entreprise, il hérite de tout ce que cette entreprise a créé, collecté ou stocké — y compris les données issues de ses propres acquisitions précédentes, de systèmes hérités sur une infrastructure laissée à l’abandon depuis des années, et des données clients stockées dans des emplacements sans politique de conservation documentée.

Les analyses de découverte post-clôture révèlent des ensembles de données inconnus du vendeur, contenant des données clients dont l’acquéreur devient légalement responsable. Si ces données ont été accessibles à des personnes non autorisées à un moment donné — ce qui est souvent impossible à exclure sur des systèmes désaffectés et non surveillés — l’acquéreur peut être soumis à des obligations de notification de violation au titre du RGPD, des lois locales sur la confidentialité ou des deux. Le coût ne se limite pas à la notification : il inclut le retard d’intégration, le contrôle réglementaire et l’impact sur la réputation de l’opération si une violation héritée doit être révélée.

La classification des données et la documentation des flux de données sont des éléments de due diligence à réaliser avant la clôture pour limiter ce risque. Les organisations capables de fournir une cartographie complète et à jour présentent un risque M&A bien moindre que celles qui ne le peuvent pas. Les data rooms virtuelles sécurisées avec journaux d’audit complets offrent aux deux parties une traçabilité claire de ce qui a été partagé, dans quelles conditions et avec qui — ce qui est essentiel tant pendant la due diligence qu’après la clôture.

« Qui est responsable de la validation de votre cartographie des données après un changement opérationnel ? »

La question de Desai met en lumière une réalité opérationnelle que la plupart des cadres de gouvernance des données éludent. Les cartographies de données sont produites lors d’exercices de catalogage. Elles sont exactes au moment où elles sont réalisées. Puis l’organisation évolue. Un nouvel environnement cloud est provisionné. Une application SaaS est retirée. Une acquisition est finalisée. Une équipe est réorganisée. Chacun de ces événements peut invalider une partie de la cartographie sans déclencher de mise à jour automatique.

Dans la plupart des organisations, personne n’a explicitement la responsabilité de valider la cartographie des données après un changement opérationnel. La responsabilité se situe entre l’IT, le juridique, la conformité et la sécurité — chacun ayant des missions connexes, mais personne n’assumant la tâche précise. C’est précisément là que le shadow data s’accumule.

Les cadres de conformité des données comme le RGPD exigent des registres précis des traitements de données personnelles, mais ne précisent pas comment les organisations doivent maintenir ces registres à jour. Les organisations les plus efficaces ont intégré la traçabilité des données à leurs processus opérationnels, au lieu de la traiter comme un nettoyage périodique. La documentation de la chaîne de traçabilité générée automatiquement lors des échanges de données gouvernés est, par définition, à jour — elle n’a pas besoin d’être rapprochée, car elle n’a jamais été obsolète.

Une gouvernance intégrée à l’architecture, pas superposée

Le RGPD a établi que la protection de la vie privée dès la conception donne de meilleurs résultats qu’une protection ajoutée a posteriori. La gouvernance des données suit la même logique. Les organisations qui intègrent la gouvernance à leur architecture d’échange de données ne connaissent pas l’écart entre la cartographie des données et la réalité opérationnelle, car cet écart n’existe pas. Le log fait office de cartographie.

Lorsque les organisations utilisent Kiteworks pour l’échange de contenu sensible, les journaux d’audit constituent un enregistrement continu de ce qui a été déplacé, où, quand et selon quelle politique. Il n’y a pas d’exercice distinct de cartographie des données, car la cartographie est générée automatiquement par les opérations. Lorsqu’un régulateur, un auditeur ou un partenaire M&A demande une preuve des pratiques de gestion des données, la réponse est un reporting, pas un chantier de reconstruction. Le Réseau de données privé Kiteworks régit la messagerie électronique, le partage et le transfert de fichiers, MFT, SFTP, formulaires web et API sous un moteur de règles unique et un journal d’audit consolidé.

Shadow data dans les exports SaaS hérités et systèmes désaffectés

Lorsqu’une organisation remplace une application SaaS, le processus de transition génère des fichiers d’export : de gros fichiers CSV ou des dumps de bases de données contenant des dossiers clients complets, des historiques de transactions ou des données collaborateurs. Certains sont importés dans le nouveau système. D’autres restent sur un drive partagé par l’équipe ayant géré la migration, et comme cette équipe a été réorganisée ou a quitté l’entreprise, plus personne ne va les chercher.

Ces fichiers constituent du shadow data. Ils contiennent les mêmes informations sensibles que le système de production, sans contrôle d’accès aligné sur la structure actuelle de l’organisation, sans politique de conservation, et sans surveillance. Et comme la transition peut remonter à plusieurs années, personne ne se souvient de leur existence jusqu’à ce qu’une analyse de découverte les détecte — ou qu’une enquête réglementaire pose la question.

Le transfert sécurisé de fichiers avec chaîne de traçabilité documentée permet de traiter ce problème à la source. Lorsque les migrations et exports de données passent par une plateforme gouvernée, chaque fichier déplacé est journalisé, traçable et soumis à une politique de conservation définie dès sa création.

Ce que « cartographie des données après changement opérationnel » implique réellement

Combler le manque de responsabilité implique de considérer la validation de la cartographie des données comme un processus opérationnel, et non comme une activité cyclique d’audit. Cela signifie intégrer l’application des règles dans l’infrastructure d’échange de données pour que la cartographie soit mise à jour en continu, et désigner explicitement un responsable de la validation post-changement lorsque des évolutions d’infrastructure ont lieu en dehors de cette couche gouvernée.

La classification des données qui accompagne les données garantit la cohérence du niveau de sensibilité sur toute la cartographie, quel que soit le système où elles résident. Les processus d’évaluation des risques dans les organisations utilisant des échanges de données gouvernés partent d’une vision à jour des flux de données, et non d’une cartographie qui était exacte à une date antérieure. Lorsqu’un processus de réponse à incident est déclenché, le périmètre est rapidement connu, sans avoir à passer des semaines à reconstituer les données impliquées.

Pour en savoir plus sur la gouvernance des données face à la prolifération du shadow data, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

Le shadow data désigne des informations sensibles en dehors de tout contrôle de gouvernance actif — buckets cloud abandonnés, exports SaaS oubliés, sauvegardes héritées, environnements de développement contenant des copies de données de production. Le shadow IT correspond à l’infrastructure non approuvée qui génère souvent du shadow data, mais ce dernier peut aussi s’accumuler sur une infrastructure approuvée. Les risques de gouvernance liés aux deux sont aggravés par les scans périodiques uniquement — les outils DSPM et la classification continue des données réduisent la période pendant laquelle le shadow data peut s’accumuler sans être détecté.

Lorsqu’une acquisition est finalisée, l’acquéreur hérite de la responsabilité légale de toutes les données détenues par l’entreprise acquise. Si les analyses de découverte post-clôture révèlent des données clients dans des systèmes désaffectés ou insuffisamment sécurisés, et que l’accès non autorisé ne peut être exclu, des obligations de notification peuvent s’imposer au titre du RGPD, des lois locales sur la confidentialité ou d’HIPAA. Cartographier en amont les emplacements des données clients, vérifier les contrôles d’accès et documenter les politiques de conservation réduit ce risque — tout comme mener la due diligence via une plateforme gouvernée avec journaux d’audit complets.

Cela signifie que les contrôles de gestion des données sont intégrés aux systèmes par lesquels transitent les données, et non appliqués comme une couche de conformité séparée. Chaque transfert est journalisé, chaque partage est traçable, et chaque décision d’accès est consignée dans la transaction elle-même. La cartographie des données est, par définition, à jour car générée en continu par les opérations. La protection de la vie privée dès la conception et la protection des données Zero trust convergent vers ce modèle, qui garantit une conformité durable — et non une conformité qui ne tient que jusqu’au prochain changement opérationnel.

Les fichiers d’export doivent être créés selon un processus qui journalise ce qui a été exporté, où il est stocké et quelle politique de conservation s’applique. Les organisations qui négligent cette étape produisent le shadow data détecté des années plus tard lors des analyses : des fichiers d’export contenant des dossiers clients complets, sans contrôle d’accès ni calendrier de conservation. Le transfert sécurisé de fichiers avec chaîne de traçabilité documentée garantit que la traçabilité de la transition est complète et que les politiques de conservation s’appliquent dès la création du fichier.

Kiteworks génère un journal d’audit continu de chaque transfert de fichier, partage et décision d’accès transitant par la plateforme — la cartographie des données devient ainsi le reporting des opérations réelles, et non une reconstruction. Lors de changements opérationnels — nouvel environnement cloud, retrait de système, acquisition — l’enregistrement des échanges gouvernés trace les données déplacées pendant la transition. Les principes de protection des données Zero trust font de cette cartographie continue une caractéristique structurelle de l’infrastructure, et non un programme séparé à financer et à gérer.

Ressources complémentaires

  • Article de blog Comment protéger les données d’essais cliniques dans la recherche internationale
  • Article de blog Le CLOUD Act et la protection des données au Royaume-Uni : pourquoi la juridiction compte
  • Article de blog Zero Trust Data Protection : stratégies de mise en œuvre pour plus de sécurité
  • Article de blog Protection des données dès la conception : comment intégrer le RGPD à votre programme MFT
  • Article de blog Comment prévenir les violations de données avec le partage sécurisé de fichiers à l’international

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks