Protéger les savoir-faire des entreprises, donc leur compétitivité
Détection des données sensibles, analyse des risques, adaptation de la sécurité en fonction des besoins et sensibilisation des différents acteurs... La sécurité des systèmes d'information est un chantier ambitieux, mais nécessaire.
La fuite d'informations est bien l'une des plus fortes hantises du responsable de la sécurité des systèmes d'information. S'en protéger à 100% est une gageure, tant le chantier à mener est ambitieux et, jamais vraiment terminé et toujours à recommencer.C'est une hantise parce que la fuite d'information peut avoir des conséquences très graves pour l'entreprise (perte d'avantage concurrentiel suite à une fuite d'information concernant ses savoir-faire ou sa stratégie). Elle peut aussi impacter ses dirigeants qui sont pénalement responsables en cas de divulgation de données à caractère personnel et qui ont une obligation de protection de ces données.
Même si les sanctions prononcées pour l'instant en France sont plus souvent des amendes - somme toute raisonnables - que des peines de prison, c'est assez désastreux pour une marque de voir son nom brocardé pour ne pas avoir protégé des données concernant ses clients ou ses employés.
C'est une hantise aussi parce que, bien souvent, dans une entreprise grande ou moyenne, l'identification même des données sensibles est difficile. Ces données peuvent être localisées dans des applications "structurées", qui ont été mises en place dans le cadre d'un projet informatique encadré. Mais elles sont aussi souvent présentes dans le "système d'information bureautique", c'est-à-dire sous forme de fichiers stockés sur le poste de travail, sur des espaces partagés et/ou échangés via la messagerie électronique. Et là, c'est l'utilisateur final qui "a directement la main".
Face à ce risque de fuite d'information, le responsable sécurité doit agir à au moins quatre niveaux :
1/ Il doit d'abord définir un catalogue de solutions techniques pour protéger les informations sensibles. Les dispositifs sont multiples (protection contre les intrusions et les codes malveillants, authentification des utilisateurs, gestion des droits, traçabilité des accès aux applications, chiffrement des données...), avec des solutions de gestion des accès et des droits, et des solutions de chiffrement de données qui sont maintenant essentielles.
Dans ces domaines, de multiples solutions nouvelles apparaissent sur le marché. Si l'on prend par exemple le cas du chiffrement de données, trois types de produits complémentaires sont maintenant présents sur le marché :
• Produit de chiffrement bas niveau (pour lutter contre les vols de portables / médias amovibles (CD, DVD, clé USB) / disques durs),
• Produit de chiffrement par politique (pour protéger les documents internes en confidentialité, par exemple contre les administrateurs systèmes),
• Espace d'échange sécurisé (partage de données confidentielles au travers d'un service centralisé, en mode Web).
2/ La responsable sécurité doit ensuite mieux intégrer la sécurité dans les processus de la DSI. Il s'agit notamment d'adapter les méthodes de conduite de projet pour qu'une analyse de risque soit réalisée en amont (les données sensibles sont ainsi identifiées), que des mesures de sécurité adaptées soient définies pour réduire ces risques (en piochant dans notre catalogue de solutions, ou avec des solutions spécifiques si nécessaire), et que la mise en oeuvre et l'efficacité de ces mesures soient contrôlées. Il s'agit aussi d'intégrer dans les processus d'exploitation les précautions adéquates (maîtrise des accès et des droits des administrateurs, protection des supports de sauvegarde...).
3/ Il doit aussi veiller à la prise en compte de la sécurité dans toutes les relations avec des tiers (sous-traitants, partenaires, clients...), en imposant différentes clauses contractuelles garantissant une "continuité de la sécurité", en intégrant les clauses d'audit permettant de vérifier le respect du contrat.
4/ Enfin, Il doit activement sensibiliser tous les acteurs, de l'utilisateur final au développeur, aux enjeux et aux bonnes pratiques en matière de protection de la confidentialité. Ce chantier repose sur des campagnes répétitives utilisant de manière coordonnée et cadencée dans le temps tous les moyens de communication disponibles (plaquettes, séances de sensibilisation, film, goodies, e-mailing...). Il implique un effort continu et durable.
Mais pour l'instant, le message reste difficile à faire passer. Les utilisateurs renâclent, principalement parce que les solutions techniques sont loin de leur apporter satisfaction. Entre les multiples mots de passe à connaître, les cartes d'authentification pour se connecter à distance et l'absence d'ergonomie des outils de chiffrement, ils voient surtout des contraintes, mais peu d'apport dans leur travail au quotidien !
Messieurs les éditeurs de solutions, il reste donc du chemin à faire... Pourtant, des progrès sont réalisés : plusieurs produits proposent par exemple maintenant un chiffrement bas niveau complètement transparent pour les utilisateurs : dans certains cas, l'utilisateur ne sait même pas qu'un logiciel de chiffrement est installé. Et à la décharge des fournisseurs de solution, les entreprises étant encore frileuses dans leurs achats, difficile d'investir massivement et à perte dans le développement de solutions ergonomiques...
La clé réside donc bien dans la prise de conscience par les dirigeants des entreprises. Et pour y parvenir, il me semble que l'Etat pourrait tout à fait donner le coup de pouce nécessaire. D'abord en obligeant les entreprises à déclarer toute fuite d'information personnelle aux personnes concernées, tel que cela se pratique aux Etats-Unis.
Et aussi en renforçant les moyens de la CNIL, qui pourrait ainsi mieux informer les entreprises, et mieux les contrôler. La protection de nos libertés individuelles est aussi à ce prix...
L'État pourrait aussi sensibiliser plus activement nos entreprises à la fuite d'information, et les pousser ainsi à mieux protéger leurs savoir-faire et donc leur compétitivité.