Sécurité des données : 12 conseils et bonnes résolutions à suivre

La rentrée se faisant souvent sous le signe des bonnes résolutions, voici douze conseils pour protéger un des biens les plus précieux de l’entreprise, sa base Contacts, c’est-à-dire ses clients et ses futurs prospects.

Lors du dernier Salesforce Tour à Paris, Marc Benioff le charismatique PDG de Salesforce rappelait que la sécurité est un combat sans fin et nous rajouterons que c’est le combat de tous. L’entreprise, ses salariés, ses intervenants extérieurs et ses prestataires techniques.
Ce focus sur la Base Contacts est lié à notre métier d’origine (email et sms marketing avec des milliers de bases contacts hébergées sur notre application) mais notons que la plupart des conseils ci-dessous pourront être appliqués avec bonheur aux accès FTP, aux espaces d’administration de vos sites Web et autres gestionnaires de domaines.

Sensibilisez vos équipes à la question de la sécurité

L’équipe d’une entreprise, ce sont ses salariés bien sûr mais aussi des parties prenantes plus ou moins proches : consultants, agences de communication, prestataires informatiques… Avec eux-mêmes des salariés et parfois des sous-traitants ! La confiance est bien sûr la règle d’une relation professionnelle réussie mais la confiance a ses limites.
Il est donc important de mettre en place des mécanismes de sensibilisation de l’ensemble de ces intervenants :
1) Faites signer une charte concernant l’accès aux Contacts et la confidentialité de ces données. Voler un fichier client est un acte délictueux, le rappeler contractuellement et aimablement peut s’avérer utile.
2) Insérez des adresses pièges dans votre Base Contacts. Ces adresses sont uniquement connues de vous-mêmes. Ainsi l’usage par une personne non autorisée démontrerait immédiatement le caractère frauduleux. Insistons sur la dimension d’abord préventive de ce conseil. Avant tout, communiquez sur l’existence de ces adresses pièges auprès des différents membres de votre équipe élargie.

Gérez individuellement les accès des membres de votre équipe

Conséquence des actions de sensibilisation précédemment évoquées, il est important que les membres de l’équipe soient traités de manière individualisée. Dans une banque, tout le monde n’a pas le droit d’entrer dans la salle des coffres.
3) Assurez-vous que l’entreprise dispose toujours de l’accès administrateur le plus élevé et soit donc l’entité contractante avec ses prestataires techniques. Si c’est le sous-traitant de votre agence Web préférée qui a in fine le droit le plus élevé, sans que vous en ayez même conscience, il y a un problème. Inversement, si vous êtes un prestataire extérieur refusez ce genre de situation même si elle peut sembler de prime abord une manière de verrouiller votre client. Au contraire sensibiliser-le à ces bonnes pratiques. Il vous en sera in fine reconnaissant et donc fidèle.
4) Proscrivez le login unique partagé par une foultitude d’intervenants. Nous rencontrons parfois des entreprises dans des situations qui seraient loufoques si elles n’étaient pas dramatiques ne pouvant plus accéder à leur Base Contacts parce qu’un ex salarié mécontent a changé l’accès unique.
5) Gérer différemment les droits d’accès. Le stagiaire fraichement débarqué ne doit pas accéder aux mêmes données que le directeur marketing installé depuis 3 ans. La confiance se gagne petit à petit. Les droits d’accès aussi.

Évitez les mots de passe faciles à mémoriser

Le mot de passe est le dernier rempart et peut s’avérer bien fragile. Là aussi la vigilance et l’individualisation s’imposent.
6) Changez les mots de passe régulièrement. Tout est dans le titre.
7) Évitez un mot de passe unique pour les accès à tous vos systèmes mais privilégiez plutôt un mot de passe unique pour chacun de vos systèmes.
8) Complexifiez les mots de passe. Majuscule, minuscule, chiffre, ponctuation. Les utilisateurs vont peut-être vous détester mais rappelez-vous et rappelez leur que c’est pour leur bien.

Equipez-vous de solutions techniques adéquates

Privilégiez les solutions basées en Europe (ou en France quand cela est possible : un peu de patriotisme économique ne fera pas de mal à l’économie de proximité). En tout état de cause, faire héberger son domaine ou sa Base Contact à plusieurs milliers de kilomètres, sous une autre juridiction est potentiellement source de problèmes et risquent notamment de vous mettre en non-conformité avec la loi européenne sur la protection des données personnelles.
10) Interrogez vos prestataires fournisseurs d’application hébergée dans le cloud sur leurs choix techniques.
  • Quel(s) hébergeur(s) utilisent-ils ?
  • Quel niveau de sécurité est proposé ?
  • Bénéficient-t-ils d’une certification ?  
  • Quelle procédure de sauvegarde ?
11) Vérifiez la possibilité de limiter les accès. Gestion des droits utilisateurs, protection par accès IP, notification de connexion sont autant de demandes légitimes à exposer à vos prestataires techniques.
12) Soyez aussi attentif à la possibilité d’exporter vos données à tout moment. Être bloqué avec un prestataire induit aussi une forme d’insécurité.

Ne relâchez jamais l'effort !

Les systèmes d’information de votre entreprise sont probablement plus que jamais ouverts. Malgré les possibilités d’intrusion démultipliées, la prospérité de votre activité repose de plus en plus sur cette ouverture. Il n’y a donc pas d’autre choix possible que de mener en permanence cet effort collectif de prévention/protection.

Chronique co-écrite avec Vincent Fournout, Guillaume Le Friant et Jean-Michel Hazera.