Dématérialiser ses données : quels sont les risques ?

Pour qu’un projet de dématérialisation ne soit pas synonyme de fuite d’informations, il est nécessaire de mettre en place des règles et des politiques de sécurité physique et informatique.

La dématérialisation de documents permet de transformer l'information en données électroniques, afin de la diffuser ou de la rendre accessible, pour ensuite être traitée ou partagée.
 
Pour l'entreprise, la donnée a une valeur inestimable, elle est le fruit de recherches, d'études de marché... Elle renseigne sur l'entreprise elle-même, les clients, les fournisseurs...  Sur un marché, c'est elle qui fait toute la différence pour une entreprise face à ses concurrents. L'information doit donc être de bonne qualité, à jour, accessible à ceux qui en ont besoin et cela à tout moment.
 
Un projet de dématérialisation de documents est une réelle opportunité pour l'entreprise car il lui permet de gagner en productivité, en efficacité, en qualité et en satisfaction client. Il est aussi pour l'entreprise une occasion de repenser son organisation, la sécurité de ses informations et les droits d'accès associés ainsi que l'ensemble de ses processus fonctionnels.
 
Ainsi, pour qu'un projet de dématérialisation ne soit pas synonyme de fuite d'informations (et les exemples sont nombreux ces derniers temps : hacking de Bercy, piratage de comptes chez Sony...), il est nécessaire de mettre en place des règles et des politiques de sécurité physique et informatique permettant de garantir la sécurité des données. 
Protéger l'information consiste à garantir sa disponibilité, son intégrité, sa confidentialité et sa traçabilité.
 
 
Cette sécurité des données n'est possible qu'avec un environnement informatique maîtrisé grâce à la mise en place de procédures et de moyens :
 
- La mise en place ou le renforcement de la sécurité physique 
Dans la pratique, la dématérialisation doit reposer sur une sécurité efficace. Le contrôle d'accès est la première étape indispensable qui s'accompagne désormais d'innovations technologiques efficaces et dissuasives telles que la lecture des empreintes digitales ou la génération de codes personnels à la volée via des téléphones mobiles.
 
- La mise en œuvre d'un système d'information sécurisé
Les systèmes d'information doivent faire l'objet d'une attention particulière. Leur mise sous surveillance grâce à des solutions de supervision permet d'assurer un contrôle aussi bien au niveau du réseau qu'au niveau du poste de travail et donc de l'utilisateur. Par ailleurs, des solutions permettent d'empêcher certaines opérations telles que l'impression des documents ou encore la sauvegarde de fichiers. Pour être efficace, la sécurisation du système d'information doit s'étendre du réseau jusqu'aux applications.
 
- Garantir la traçabilité des données
Une fois dématérialisées, les informations ne sont plus disponibles autrement que sous forme de fichiers électroniques. Il est donc facile de se les procurer à l'aide d'une clé USB, par l'envoi d'un e-mail au départ d'un simple ordinateur portable. Pour pallier ce risque, les entreprises doivent mettre en place des solutions qui permettent de garantir la traçabilité des données, comme des solutions de journalisation des accès ou encore le tatouage numérique (watermarking). Cette technique permet d'ajouter des informations de copyright ou d'autres messages de vérification sur un fichier mais aussi un signal audio, vidéo voire une image sur tout type de document numérique. Grâce à ces systèmes de traçabilité, il est possible de savoir qui a consulté les documents et ce que la personne en a fait. En cas de fuite d'information, l'entreprise est donc à même d'identifier l'indiscret et de savoir ce qu'il a réellement fait et quand.
 
- Le contrôle régulier des règles et des politiques de sécurité
Les mises à jour du système d'information tout comme les évolutions organisationnelles indispensables au bon fonctionnement de l'entreprise doivent donner lieu à des contrôles réguliers pour permettre de garantir continuellement la bonne application des règles et politiques de sécurité. On parle également de phase de pilotage et de contrôle de conformité des politiques mises en place par l'entreprise.
 
- La prise en compte de la protection des données à caractère personnel
Les législations française et européenne sont très strictes en matière de protection des données à caractère personnel. Les préconisations de la CNIL fournissent aux entreprises les règles à mettre en place en matière de données à caractère personnel et les principes de sécurité à respecter en termes d'accès et de conservation des données.
 
La dématérialisation de documents doit systématiquement être associée à une réelle politique de sécurité pour remplir toutes ses promesses : productivité, efficacité, qualité du travail, amélioration de la relation client et réduction des coûts.
 
La sécurité ne doit pas être uniquement une question de technologies ou de procédures. Elle doit être prise en considération par l'ensemble des individus : l'encadrement, les utilisateurs qui manipulent les informations personnelles et sensibles, sans oublier les informaticiens qui automatisent et hébergent les traitements. Chaque individu doit faire évoluer ses comportements pour une sécurité pleinement efficace.
 
Pour sécuriser son projet de dématérialisation, l'entreprise (publique ou privée) peut également s'appuyer sur un référentiel des bonnes pratiques édité par la révision générale des politiques publiques (RGPP) et sur la norme ISO 27 001 qui définit un cadre de processus d'amélioration continue.
 
Cette norme permet de mettre en place, de maintenir et de faire évoluer le système de management de la sécurité de l'information afin d'assurer la protection des biens sensibles d'une entreprise sur un périmètre défini. L'objectif est de garantir la protection des actifs informationnels.
 

Autour du même sujet