Security teams face mounting pressure as data breaches escalate. The French National Cybersecurity Agency's (ANSSI) 2025 threat report documents 196 data exfiltrations last year, up from 130 in 2024. A typical crisis might involve a Security Operations Center (SOC) alerting that confidential digital vault files were transferred to a personal cloud storage account. Even if analysts halt the transfer immediately, some data is already lost. Teams can only report the incident to the CISO and board, often lacking the answers to inevitable questions about how and why it happened.

Despite advanced AI tools, security teams struggle to reconstruct a convincing, evidence-based chain of custody. Without this, they cannot learn from incidents, improve policies, or prevent recurrence. Data lineage emerges as a critical mechanism integrated into data flow policies, providing CISOs with the forensic details needed for accountability.

Traditional security controls monitor access points but often fail as software creates new "doors" faster than they can be secured. The focus must shift from hardening access points to controlling what passes through them. While file- and data-object-based access checks exist, their complexity and poor interoperability limit effectiveness.

Data lineage simplifies file and data protection policy creation by tracking an object's journey from origin to destination, recording every action and actor. It provides detailed movement and responsibility logs. Crucially, actions like "Save As"—which typically erase historical metadata—do not break the lineage. It creates an immutable audit trail, allowing teams to identify normal, authorized data flows and establish protective policies that anticipate future vulnerabilities.

For example, without lineage, three separate events—a malicious employee downloading an at-risk client list, emailing it to a colleague, and that colleague reformatting and uploading it to a personal account—appear unrelated. With lineage, actor and action information stays attached to the file regardless of format, creating a continuous thread of movement and intent across its full lifecycle.

This capability is vital for internal risk management. Companies can halt unauthorized flows even when attackers try to bypass security by altering names or formats. The lineage graph—a visual representation of an object's lifecycle—becomes a key tool for faster root-cause analysis during incidents.

Data lineage also scales to manage enormous data flows, becoming indispensable alongside non-human identity management systems as organizations grow from managing interactions among 10,000 people to 10 million agents. It ensures reliable traceability of these actors and their actions while aiding compliance with proliferating global regulations. For instance, applying lineage to Large Language Model (LLM) training data guarantees adherence to internal ethics policies and external rules, providing evidence to demonstrate security and reliability to clients, auditors, and regulators.

While standalone lineage tools exist, their value is marginal if they cannot exchange signals or influence the policies governing data flows. To enable portable data and file protection, lineage must be integral to broader platforms that apply security policies to all transiting data. From private apps and diverse websites to authorized and unauthorized SaaS applications, files move everywhere via managed and unmanaged devices. Security teams need platforms that inspect all these flows, categorize every object, and now, track every actor and action—ensuring the right people have the right access to the right resources at the right time and for the right reasons.

Data, much like air, fills all available space and escapes whenever possible. It also tells stories. Data lineage illuminates these stories, strengthening corporate security postures as they balance protection and innovation.

*Mark Riley is Field CTO at Netskope.*

Aujourd’hui, les équipes de sécurité font constamment face à une pression exponentielle. A titre d’exemple, l’édition 2025 du Panorama de la menace de l’ANSSI fait état de 196 exfiltrations de données l’année passée, contre 130 en 2024.

Peu importe l’heure, elles peuvent recevoir un appel de leur centre des opérations de sécurité (SOC) leur signalant le transfert des fichiers d’un coffre-fort numérique confidentiel vers un compte de stockage cloud personnel. Quand bien même leurs analystes interrompraient immédiatement le flux, certains fichiers se sont déjà volatilisés dans la nature. Ils ne peuvent que constater la fuite, et attendre que leur RSSI rapporte cet incident au conseil d’administration. Néanmoins, ils savent que ce dernier posera des questions au premier, qui resteront sans réponses.

Même armées des outils les plus modernes aux fonctionnalités IA dernier cri, les équipes de sécurité peinent à reconstituer une chaîne de traçabilité avec des preuves convaincantes. Or, sans ces informations, elles ne peuvent tirer d’enseignements de ce type d’incidents, améliorer les politiques et les procédures, et réduire au maximum le risque de récidive.

Mécanisme relativement récent, intégrable aux politiques de flux des données, la généalogie des données (data lineage) fournit aux RSSI les éléments qui leur permettront de répondre aux questions qu’ils se voient fréquemment posées par leurs conseils d’administration.

Pour commencer, partir du début

Les contrôles de sécurité traditionnels surveillent les portes d’accès à un environnement et, dans la majorité des cas, permettent d’identifier celles qui présentent des failles. Cependant, contrairement aux structures physiques, les logiciels favorisent l’apparition de nouvelles portes, souvent plus vite que les systèmes d’inspection les détectent et les protègent.

De fait, il vaut mieux maîtriser ce qui traverse ces portes plutôt que de renforcer les contrôles de ces dernières. A cet effet, toutes sortes de vérifications d’accès basés sur les droits, intégrés aux fichiers et aux objets de données, existent depuis des décennies. Néanmoins, elles demeurent inapplicables en raison de leur complexité et de leur faible interopérabilité.

Contrairement aux portes d’accès, la généalogie des données simplifie l’élaboration des politiques de protection des fichiers et des données. Ce mécanisme retrace le parcours d’un objet, de son origine à sa destination, en enregistrant chaque action et chaque acteur impliqué. Il fournit des informations détaillées sur tous les mouvements et leurs responsables.

De plus, une simple commande « Enregistrer sous », qui en règle générale efface les métadonnées historiques des nouvelles copies, n’interrompra pas le processus. La généalogie fournit une piste d’audit immuable qui permet aux équipes de sécurité d’identifier les flux de données ordinaires et autorisés. En partant de là, elles peuvent mettre en place des politiques de protection qui anticipent une potentielle vulnérabilité future de ces données.

Par exemple, un employé mal intentionné télécharge une liste de clients à risque et l’envoie par mail à un collègue. Ce dernier reformate les données, avant de les télécharger sur un compte personnel. Sans généalogie des données, ces trois événements distincts ne possèdent aucun rapport les uns avec les autres.

Avec, les informations relatives aux acteurs et aux actions demeurent associées au fichier, quel que soit son format, ce qui crée un fil conducteur des mouvements et des intentions. La généalogie des données suit leur cycle de vie complet.

Elle fournit aussi les éléments nécessaires à une gestion efficace des risques internes. Les entreprises peuvent ainsi interrompre les flux non autorisés lorsque des attaquants tentent de contourner les politiques de sécurité en modifiant des noms ou des formats. Le graphique de généalogie (représentation visuelle du cycle de vie d’un objet) devient un outil de plus dans l’arsenal des équipes de sécurité pour rechercher plus rapidement la racine d’un incident.

La généalogie comme levier de valeur

Le processus permet également de gérer des échelles toujours plus grandes. Si une entreprise se retrouve en difficulté face à la gestion des flux qui circulent entre 10 000 personnes, elle ne pourra que constater les dégâts lorsque confrontée à ceux de 10 millions d’agents. Dans ce cadre, parallèlement à des systèmes de gestion des identités non humaines (chaque agent doit en posséder une), la généalogie des données s’impose rapidement comme une approche indispensable.

Elle permet non seulement d’assurer une traçabilité fiable de ces acteurs et de leurs actions, mais également de se conformer aux réglementations toujours plus nombreuses et toujours plus floues définies à travers le monde. Par exemple, l’intégration d’un processus de généalogie aux données d’entraînement des grands modèles de langage (LLM) garantit qu’ils respectent les politiques d’éthique internes et les réglementations externes.

Ainsi, les entreprises disposent des preuves nécessaires pour démontrer aux clients, aux auditeurs et aux organismes de réglementation la sécurité et la fiabilité de leurs éléments d’apprentissage.

À l’instar des autres produits de sécurité, il existe également des outils de généalogie autonomes. Cela dit, exploiter conjointement de multiples outils de généalogie autonomes n’apporte qu’une valeur ajoutée marginale. Ils se révèlent incapables d’échanger des signaux, et, s’ils ne peuvent pas influencer les politiques qui régissent les flux de données, leur utilité reste limitée. Pour être efficace, et permettre une protection portable des données et des fichiers, la généalogie doit faire partie intégrante de plateformes plus vastes, qui appliquent des politiques de sécurité à toutes les données qui y transitent.

Des applications privées aux sites web les plus divers, en passant par les applications SaaS autorisées et non autorisées, des fichiers circulent partout, via des appareils gérés et non gérés. Les équipes de sécurité requièrent des plateformes capables d’inspecter tous ces flux et de catégoriser chaque objet. Dorénavant, elles doivent également suivre chaque acteur et chaque action. Elles veillent ainsi à ce que les bonnes personnes disposent des bons accès aux bonnes ressources, au bon moment, et pour les bonnes raisons.

Les données ressemblent beaucoup à de l’air : elles occupent tout l’espace disponible et s’échappent dès que possible. Elles racontent également des histoires. La généalogie éclaire ces histoires, renforçant la posture de sécurité des entreprises tandis qu’elles poursuivent leur quête d’équilibre entre protection et innovation.

*Mark Riley est Field CTO chez Netskope

The post Comment la généalogie des données en dévoile les secrets appeared first on Silicon.fr.