article suivant

Cybersécurité : Associer performance de l’entreprise et sécurité des données

20 avril 2017

Demande de rançon, vol de données, fuite d’informations, cyber-espionnage industriel… Jusqu’à plusieurs centaines de milliers d’euros selon la taille de l’entreprise, voici le coût potentiel de la cybercriminalité. Alors que la transformation digitale est en passe d’être intégrée par la plupart des entreprises, la sécurité de l’information reste souvent négligée.

En matière de cybercriminalité, il existe des menaces aussi bien externes à l’entreprise à l’instar des hackers ou de l’espionnage informatique, qu’internes comme la falsification de documents électroniques ou la diffusion de contenus illégaux. La sécurité doit dès lors être considérée très sérieusement par les dirigeants. Faut-il pour autant tout protéger à tout prix ?

Non, répond Fortunato Guarino, consultant en cybercriminalité et protection des données chez Guidance Software.

Dans un premier temps, il convient d’établir une cartographie des données puis les qualifier en fonction de leur sensibilité. Il faut ensuite maîtriser le cycle de vie de ces données sensibles : qui en sont les propriétaires, qui les traitent, les modifient, qui a la capacité de les communiquer, les transmettre à des tierces parties, les supprimer… Et ce, en fonction de finalités légitimes.»

L’indispensable travail de sensibilisation

Le mot sécurité tire son origine du latin Securitas signifiant quiétude. En d’autres termes, c’est l’assurance de ne pas avoir à se soucier de l’utilisation malveillante d’informations comme les données des employés, de clients ou un éventuel brevet. C’est de cette manière que doivent être perçues les actions menées et non comme un frein au rendement de l’entreprise.

Comme l’explique Lionel Mourer, administrateur du Club de la sécurité de l’information français (Clusif) et président du cabinet Atexio :

Carte bleue, chéquier… C’est comme dans la vie réelle, personne ne souhaite laisser traîner ses affaires dans la rue. Traitons de la même manière les données en entreprise au niveau informatique pour les protéger. Côté entreprise, il existe aujourd’hui des outils techniques permettant d’assurer la sécurité tout en simplifiant les usages du point de vue de l’utilisateur. »

Avec quels outils, quelles bonnes pratiques ?

Firewall, antivirus, chiffrements des données… Ces outils devenus indispensables n’empêchent pas toutes les fraudes. Face à des pratiques malveillantes de plus en plus élaborées mais aussi des erreurs humaines, il serait pernicieux de penser que la sécurité est la responsabilité unique des équipes IT. Elle est en réalité l’apanage de tous. D’où l’importance de bien identifier les enjeux et surtout de les expliquer. Concrètement, il existe plusieurs mécaniques pour entreprendre ce dessein.

Il peut s’agir de démonstrations collectives dans une salle, de vidéos présentant des scénettes de sensibilisation via l’intranet ou encore des modules de 5 à 10 minutes proposant aux collaborateurs des mises en situation virtuelles pour tester leurs réactions dans telles situations. Autres possibilités l’affichage en entreprise, l’envoi régulier de mails tout comme l’intégration des tenants et aboutissants de ce thème dans le livret d’accueil », énumère Lionel Mourer.

Compte-rendu d’incident : arriver à faire remonter l’information

Autre point important : savoir détecter le vrai du faux en matière d’incidents et mettre ainsi les outils en place pour effectuer une présélection face au flot de données d’alertes remontées.Pour Fortunato Guarino, outre l’essentiel mise en place d’outils et de méthodes, il convient également :

En cas d’erreur humaine d’arriver à faire remonter l’information sans crainte de sanction. Car le compte-rendu d’incident reste la base de toute démarche de protection de l’entreprise, de ses salariés et de son patrimoine. La reconnaissance de l’erreur et son imputabilité est un pas énorme qui permet d’être réactif, d’identifier et remédier au plus vite à la menace. »

Enfin, avec l’arrivée du Big Data et l’explosion des échanges de données, celles-ci sont désormais transmises partout, stockées par des partenaires voire des prestataires quand la sécurité est déléguée. En cas d’externalisation des prestations, maîtriser les risques liés à l’infogérance s’avère tout autant primordial. Tout comme la manière dont les échanges sont réalisés avec les tiers de confiance.

Comme le précise Fortunato Guarino :

Il y a toujours des incidents. Même si tout est conforme de votre côté, d’autres éléments de la chaîne de traitement ne vont pas respecter les règles. Ce jour-là, pour vous protéger de poursuites légales potentielles et de recours aux cyber-assurances pour la prise en charge financière des dommages liés à un incident, il vous faudra apporter les preuves de ce que vous avez mis en place. »

article intéressant