Mettre un prix sur la sécurité des données

A l’ère du numérique, le Big Data est considéré comme un nouveau gisement de valeur à protéger. Un nouveau règlement UE sur la protection des données personnelles est d’ailleurs entré en vigueur le 25 mai dernier et impose aux entreprises de protéger leurs données sous peine de voir leur responsabilité engagée.

Il est essentiel de déployer des outils de protection et d’identifier quelles sont les données importantes à protéger afin de mettre en place une réponse graduée et sur-mesure en fonction des attaques ainsi que des données visées.

En effet, toutes les données ne se valent pas. Dans ce contexte, la gestion de la sécurité et d’une éventuelle crise consiste à comprendre le risque associé à la perte ou au vol d’informations. Chaque entreprise possède sa hiérarchie des données et la procédure à lancer si une faille de sécurité est découverte. En évaluant la valeur relative des différents types de données, les équipes informatiques déploient la réponse appropriée à adopter en cas d’incident. Cette approche permet d’économiser un temps précieux au moment où l’attaque survient permettant aux équipes de tenir leur priorité en fonction des profils de données sensibles qui ont été préétablis.

Aligner la valeur de données et la réponse à lancer

Les données sensibles doivent être identifiées, localisées et leur valeur clairement mesurée afin de déployer une politique de gestion des risques efficace. Une approche trop globale ne convient pas, tant chaque cas de figure peut être différent. Par exemple, perdre des dossiers clients peut être préjudiciable pour une entreprise mais certainement beaucoup moins que la perte de droits de propriété intellectuelle sur le prototype d’un nouveau produit. 

Avant toute chose, il faut adopter une approche pas à pas afin d’estimer la valeur des données et mettre en place les processus idoines pour les protéger. Pour cela, il faut avant tout procéder à l’inventaire de toutes les données. Un audit de l’état de l’IT permet d’avoir une vue d’ensemble d’où se trouve les données critiques et non critiques. 

L’évaluation de la valeur des données dépend du secteur d’activité concerné en fonction de la prise en compte de facteurs tels que l’impact juridique sur la perte de données, le coût du temps d’arrêt / récupération des données ou encore les conséquences financières pour l’entreprise dont la réputation est compromise.

Cartographier et suivre les données de l’entreprise

Ensuite, il faut non seulement savoir où se trouvent les données mais aussi comment elles circulent sur le réseau. Et se demander quels sont les garde-fous mis en place pour restreindre les mouvements dedans et en dehors de l’entreprise.

Adapter les plans de gestion de crise

Une fois les risques principaux identifiés, les plans de gestion de crises sont structurés de manière à ce que les mesures mises en place puissent couvrir différents types de scenario. Protéger les données critiques implique une chaîne de décisions réunissant différents interlocuteurs de l’entreprise : IT, juridique, communication, RH.. Avec un plan adapté et bien documenté, les personnes concernées seront en mesure de déployer les actions à mener pour limiter les pertes.

Ceci implique de sensibiliser les équipes en amont. Chacun à le devoir dans une entreprise de protéger les données qu’il manipule. Dans cette perspective, il est important de former les équipes pour qu’elles prennent en compte la valeur immatérielle des données comme elles le feraient pour des biens physiques.

Comprendre la valeur des biens (immatériels) de l’entreprise est sans conteste la première étape pour déployer des dispositifs de sécurité défensifs et des stratégies de réponse. Non seulement il faut implémenter les systèmes de protection adaptés aux données mais aussi la réponse correspondant à l’importance de la faille de sécurité.