La plupart des entreprises font inutilement courir un risque aux données de leurs clients ou de leurs employés lorsqu'elles testent leurs applications informatiques. C'est ce que révèle un rapport intitulé « Test data insecurity : the unseen crisis », publié en décembre par l'éditeur Compuware et les analystes de Ponemon Institute, à la suite d'une enquête menée en juillet et août dernier auprès de 897 responsables informatiques. On y découvre qu'en Europe, 64% des entreprises interrogées utilisent les véritables données de leurs clients (des données issues de leur système de production) sans prendre la peine de les modifier, lors des phases de test qui accompagnent le développement de leurs applications. Parmi les entreprises françaises sondées, elles ne sont que 43% à avoir reconnu procéder ainsi. Seule concession à la confidentialité : les données sont mélangées au sein des colonnes, de façon à ce que les lignes restent cohérentes. Parmi celles qui le font en France, 66% se servent des fichiers clients complets (63% en Europe) et 37% se bornent à utiliser des listes de clients (45% en Europe). Or, les informations ainsi utilisées incluent la plupart du temps des renseignements sensibles ou confidentiels, tant sur les employés que sur les clients (numéros de référence, de cartes de crédit, de sécurité sociale...). Nécessité d'une prise de conscience Les entreprises pensent généralement que les procédures de tests ne mettent pas en danger ces données privées parce qu'elles ne se déroulent pas dans un environnement de production. Pourtant, les informations ainsi manipulées se retrouvent entre les mains d'intervenants qui ne sont généralement pas autorisées à les consulter, non seulement au sein des équipes internes de l'entreprise, mais aussi et surtout lorsque les tests sont effectués chez des partenaires ou des sous-traitants. L'enquête de Compuware et Ponemon montre justement que 59% des entreprises françaises interrogées externalisent les tests de leurs applications (42% seulement en Europe) et que 81% partagent leurs données de production avec leurs sous-traitants (60% en Europe). Larry Ponemon, président fondateur de l'Institut Ponemon, explique cette pratique risquée par le fait qu'il est plus facile et moins cher d'utiliser des fichiers de données internes pour tester les applications. Mais il souligne à quel point cela peut compromettre la sécurité de ces données confidentielles et insiste sur la nécessité d'une prise de conscience. De fait, l'étude révèle aussi que 38% des entreprises françaises interrogées (35% en Europe) reconnaissent ne pas savoir si l'intégrité de leurs informations a été compromise. Pire, 45% des entreprises européennes admettent que des données utilisées dans le cadre de tests ont été perdues ou volées.