Guide des politiques de conservation des données de Slack

La sauvegarde des données est un aspect crucial de la gouvernance organisationnelle dans le monde du travail numérique moderne. L'essor des plateformes collaboratives comme Slack a révolutionné la communication au sein des entreprises. Cependant, la gestion des données au sein de ces plateformes est une tâche nuancée, qui nécessite une compréhension approfondie des politiques de conservation des données, de la conformité et des risques associés.

Pourquoi les politiques de conservation des données sont-elles importantes ?

La transformation numérique a entraîné un afflux sans précédent de données, qui n'ont pas toutes la même valeur pour l'entreprise. Les politiques de conservation des données permettent aux organisations d'attribuer une valeur à leurs informations, ce qui leur permet de prendre des décisions éclairées sur ce qu'il convient de conserver et ce qu'il convient d'éliminer.

De solides politiques de conservation des données peuvent également aider les entreprises à respecter leurs obligations réglementaires en matière de conservation ou d'élimination des informations sensibles. Par exemple, aux États-Unis, la Securities and Exchange Commission exige des institutions financières qu'elles conservent certains types de données pendant une période de sept ans. La compréhension des données que vous détenez est fondamentale dans ce processus, en particulier pour les entreprises des secteurs hautement réglementés ou celles qui traitent régulièrement des informations sensibles ou à diffusion restreinte.

Les politiques de conservation constituent une première étape essentielle dans tout processus de conformité ou de prévention des pertes de données, et soutiennent d'autres fonctions pour les équipes à travers l'organisation, y compris l'eDiscovery et d'autres processus juridiques.

Les exigences en matière de conservation des données s'appliquent-elles à Slack ?

Les organismes de réglementation tels que la SEC et la FINRA ont clairement indiqué, par le biais d'amendes et de pénalités, que les périodes de conservation pour les entreprises hautement réglementées s'appliquent également à toutes les formes de communications d'entreprise, y compris les outils de collaboration tels que Slack. De nouvelles règles telles que la SEC 17a-4 clarifient encore cette position et affirment que les entités couvertes doivent disposer d'une solution proactive pour saisir un enregistrement complet de toutes les communications électroniques, quel que soit l'endroit où elles ont lieu.

Quels sont les risques présents dans les données de Slack ?

Toutes les entreprises traitent certaines formes de données sensibles, et ces informations sont inévitablement partagées au sein d'outils de collaboration comme Slack. Parmi les types de données sensibles les plus courants partagés dans Slack figurent les informations personnelles identifiables (PII), les informations de santé protégées (PHI) et les informations relatives aux cartes de paiement (PCI). Nos recherches montrent qu'un message Slack sur 17 contient des données sensibles telles que des informations confidentielles. En l'absence d'un plan d'identification et de sécurisation de ces données, celles-ci pourraient être compromises par des pirates informatiques ou d'autres acteurs malveillants.

De plus, l'analyse de Mimecast Aware montre que les utilisateurs partagent souvent des données sensibles de l'entreprise sur Slack. Une organisation a utilisé Mimecast Aware pour identifier plus de 20 000 cas de partage de numéros de cartes de crédit de clients dans des outils de collaboration. L'entreprise s'exposait ainsi à des poursuites de la part du Conseil des normes PCI (PCI SSC), les amendes en cas de violation pouvant atteindre 100 000 dollars par mois.

Cependant, les données réglementées ne sont pas les seules à présenter des risques pour les entreprises. Les secrets d'entreprise, la propriété intellectuelle et même les conflits interpersonnels existent tous dans les outils de messagerie comme Slack et peuvent exposer l'entreprise à des pertes financières et à des poursuites judiciaires. La gestion de la conservation des données dans Slack nécessite de comprendre et d'atténuer également ces responsabilités.

Slack conserve-t-il des données par défaut ?

Slack conserve les données des plans gratuits jusqu'à un an, après quoi elles sont supprimées et peuvent ne pas être récupérables. Pour les plans payants, Slack conservera toutes les données de l'utilisateur pendant toute la durée de vie du compte, conformément à ses paramètres par défaut, sauf indication contraire. Cependant, cela ne signifie pas que toutes les données disponibles sont immédiatement accessibles aux administrateurs de Slack. Les administrateurs d'espaces de travail des comptes de niveau inférieur devront souvent demander à Slack d'accéder aux données des utilisateurs provenant de canaux Slack privés et restreints, ou datant de plus de 90 jours. Avant d'accéder à cette demande, Slack exige une raison juridique impérieuse et peut informer les utilisateurs si leurs données sont transmises à des administrateurs.

Options de conservation des données de Slack par type de compte

*Les données du plan gratuit sont conservées par Slack pendant un an.

Slack propose un certain nombre d'options de conservation des données personnalisables, en fonction du plan. Sur les plans Slack gratuit et pro, les administrateurs peuvent choisir de conserver tous les messages et fichiers indéfiniment ou de les supprimer après une période donnée. Sur les plans Plus et Enterprise Grid, les administrateurs peuvent également choisir de conserver ou de supprimer des messages et des fichiers en fonction du type de canal et d'autres critères. Les utilisateurs de Slack ayant souscrit à un abonnement payant ont également la possibilité de configurer leurs propres paramètres de conservation des messages pour les canaux privés et les DM, une fonctionnalité connue sous le nom de "Member Overrides". Sur les plans Business+ et Enterprise Grid, les propriétaires d'espaces de travail peuvent également définir des politiques de conservation des messages personnalisées pour des canaux individuels (Admin Overrides).

Pour appliquer correctement les politiques de conservation dans un espace de travail Slack et garder un contrôle total sur toutes les données qu'il contient, il faut un plan Slack Business+ ou Enterprise Grid, car ces niveaux prennent en charge les paramètres granulaires de l'espace de travail pour la conservation. Pour mieux contrôler la conservation des données Slack, les administrateurs devraient envisager de déployer un outil de conservation Slack tiers tel qu'Aware.

Les messages Slack supprimés peuvent-ils être récupérés ?

Non, les messages Slack supprimés ne sont pas récupérables par défaut. Il est essentiel de le noter, car les utilisateurs (également appelés dépositaires) peuvent modifier ou supprimer leurs messages Slack à tout moment. À moins qu'une politique de conservation des données ne soit mise en place pour enregistrer spécifiquement les révisions et les suppressions, ces messages risquent d'être perdus à jamais.

Les administrateurs doivent-ils conserver toutes les données de Slack ?

La plupart des données de Slack sont de faible qualité et ne présentent pas de risque pour l'entreprise. Cependant, la conservation de toutes ces données peut entraîner une exposition accrue aux risques, simplement en raison du volume de ces données - l'année dernière, les employés ont envoyé plus de 18 trillions de messages dans les outils de collaboration. Il est donc plus difficile pour les équipes juridiques et de conformité de trouver l'aiguille dans la botte de foin lors des examens internes, des enquêtes et de l'administration de la preuve électronique.

Pour les entreprises des secteurs très réglementés, les réglementations imposées par la FINRA, la SEC et d'autres organisations similaires définissent souvent des politiques de conservation minimales requises pour toutes les informations stockées électroniquement, y compris les données Slack. Le non-respect de ces exigences peut entraîner des amendes et des pénalités importantes. Et même pour les entreprises n'appartenant pas à ces secteurs, il existe souvent des exigences en matière de protection des données pour sauvegarder et sécuriser les informations sensibles telles que PII/PHI/PCI qui doivent être prises en compte.

Ces demandes concurrentes de l'organisation - à la fois pour limiter l'exposition à de vastes ensembles de données et pour remplir les obligations réglementaires de préservation des données - représentent de nouveaux défis pour les propriétaires d'espaces de travail collaboratif. La plateforme de données IA d'Aware permet aux administrateurs d'évaluer plus rapidement et plus facilement leur exposition au risque dans cet ensemble de données, d'appliquer des paramètres de rétention légale et de conservation qui répondent aux besoins réglementaires, et de rendre leurs données exploitables.

Défis courants en matière de conservation des données sur Slack

• Manque de visibilité: Les administrateurs de Slack peuvent ne pas être en mesure de voir tous les messages qui sont partagés dans leur espace de travail, en particulier s'ils sont sur le plan gratuit ou standard de Slack.
• Manque de contrôle: Les utilisateurs peuvent supprimer leurs propres messages à tout moment, ce qui complique le contrôle des données.
• La prolifération des données: Les données de Slack peuvent être réparties entre les canaux publics, les canaux privés, les messages directs et les fichiers. Cela peut rendre difficile la gestion et la conservation efficace des données.
• Conformité réglementaire: Les entreprises doivent se conformer à diverses réglementations en matière de conservation des messages et des fichiers, ce qui peut s'avérer complexe et difficile à gérer.
• Problèmes d'intégration: Il est essentiel de comprendre comment les applications tierces connectées à Slack accèdent aux données et les stockent pour garder le contrôle des informations sensibles.

Comment Mimecast prend en charge la conservation des données pour Slack

Mimecast Aware simplifie la conservation des données dans les ensembles de données de collaboration complexes comme Slack, en aidant les administrateurs à évaluer correctement le risque et la valeur des données qu'ils détiennent. Aware se connecte sans effort à Slack via des API natives et des webhooks pour ingérer un enregistrement en temps réel de tous les messages, y compris les révisions et les suppressions, et les sécurise dans une archive défendable et immuable. En enrichissant chaque message avec des métadonnées infusées par l'IA, Aware permet aux administrateurs et aux équipes juridiques et de conformité de rapidement rechercher, trier et faire remonter à la surface les messages Slack pour accélérer les enquêtes internes et soutenir la conformité réglementaire.

Les automatisations de flux de travail intelligentes de Mimecast Aware peuvent détecter les cas de partage non autorisé d'informations sensibles et confidentielles dans Slack en utilisant des modèles de traitement du langage naturel et d'analyse des sentiments à la pointe de l'industrie qui surpassent tous les principaux concurrents. Grâce à Mimecast Aware, les administrateurs d'espaces de travail peuvent prendre en charge l'ensemble de leur écosystème de collaboration à partir d'une single plateforme centralisée qui met à leur disposition des contrôles granulaires de rétention des données.

Première publication Nov. 2023. Mise à jour juin. 2024.