Près de deux entreprises européennes sur trois utilisent des données clients sensibles pour tester leurs applications (une sur deux en France)

L’enquête conjointe de l’Institut Ponemon et de Compuware montre que la sécurité des données de production utilisées à des fins de test n’est pas une préoccupation majeure des entreprises

Archives : 2000 2001 2002 2003 2004 2005 2006 2007

Sèvres, le 8 janvier 2008 - Compuware Corporation (NASDAQ: CPWR) annonce les résultats d’une enquête réalisée en collaboration avec l’Institut Ponemon. Intitulée « Test Data Insecurity: The Unseen Crisis »(Insécurité des données de test : un danger latent), l’étude révèle qu’une grande majorité d’entreprises européennes (64%) utilise des données client sensibles issues de la production pour réaliser le développement et les tests d’applications (43% en France). Parmi ces entreprises européennes, 63% (66% en France) ont admis utiliser les fichiers clients et 45% (37% en France) des listes de clients. Les données de production confidentielles utilisées à des fins de test peuvent être des fiches de renseignement d’employés, des fichiers fournisseurs, des numéros de Sécurité Sociale, de compte ou de carte de crédit des clients, etc.

Les entreprises s’imaginent que les données de test sont à l’abri des dangers parce que les tests ne se font pas dans l’environnement de production. Elles négligent le fait que l’environnement utilisé est moins sécurisé que celui de production. En effet, les données de test peuvent être accessibles aux équipes de test, aux consultants, aux partenaires ou aux employés offshore. L’enquête a montré que 42% des entreprises européennes (59% en France) externalisaient les tests de leurs applications. Sur l’ensemble des entreprises interrogées, 60% (81% en France) ont admis partager avec leurs sous-traitants les données de production.

«Pour la plupart des entreprises, il est plus facile et moins cher d’utiliser les fichiers de données clients pour tester une application, explique le Dr Larry Ponemon, président fondateur de l’Institut Ponemon. Mais cette pratique compromet considérablement la sécurité des données confidentielles- d’autant plus quand des tierces parties ou des ressources offshore sont impliquées - alors même que les entreprises veulent garantir l’intégrité de leurs données critiques. Cette étude démontre la nécessité d’une prise de conscience et de responsabilisation par rapport à l’utilisation qui peut être faite des données sensibles dans les entreprises. Toutes les pratiques impliquant des données de production doivent être évaluées pour mesurer le risque et mettre en place les mesures de protection adéquates ».

Réalisée en juillet et août 2007 auprès d’un échantillon de 897 responsables informatiques, l’étude mandatée par Compuware et menée par l’institut Ponemon révèle également que plus de la moitié des entreprises qui utilisent des données clients pour le test d’applications ne prévoient pas de mettre en place de mesures de sécurité pour préserver l’intégrité et de la confidentialité de ces données.
L’enquête a également montré que :

• 35% des entreprises européennes (38% en France) interrogées ne disposent d’aucun moyen pour savoir si l’intégrité des données utilisées à des fins de tests avait été compromise
• 17% des sondés (27% en France) n’ont mis en place aucune mesure de protection des données utilisées lors du développement
• 45% des entreprises européennes avouent que des données utilisées à des fins de tests ou de développement ont été perdues ou volées
• 7% des sondés déclarent qu’ils ne savent pas qui est responsable de la sécurité des données de test. 25% croient que cette responsabilité relève des services de développement, tandis que 21% pensent qu’elle relève des services opérationnels commanditaires de ces développements, évoquant un manque de clarté concernant la responsabilité des données sensibles de test.

L’enquête démontre ainsi que peu de personnes réalisent à quel point l’utilisation des données réelles de leurs clients lors du développement et des tests d’applications est risquée. En réalité, toutes les entreprises commerciales, et pas seulement celles du secteur de la santé ou de la Banque et de l’assurance, ont aujourd’hui l’obligation de protéger les données confidentielles de leurs clients.

Pour sécuriser l’utilisation des données clients lors des tests, Compuware apporte à nombre de ses clients une solution d’anonymisation des données, Test Data Privacy. La solution permet de générer de façon automatisée et reproductible des données de tests basées sur les données de production, mais totalement sécurisées et pouvant être communiquées sans risques à des tiers (en interne, à des partenaires ou à des prestataires offshore).

Le livre blanc intitulé « Test Data Insecurity: The Unseen Crisis» (Insécurité des données de test, un danger latent)  résumant cette étude est disponible sur le site de Compuware à l’adresse :
www.compuware.com/dataprivacypaper.