Il est utopique de penser pouvoir protéger l’entreprise à 100%

Difficile de garantir une sécurité sans faille à son entreprise et ses employés. Reste des règles de bonne conduite à appliquer, afin de limiter au maximum l’exposition de l’information sensible aux zones à risques.

Le vol d'un ordinateur portable début mai chez Marks et Spencer met en péril la sécurité de milliers de salariés. Ce cas de figure n'est pas isolé. En novembre dernier c'est la société Starbucks, à Seattle, qui a vu les informations concernant 60 000 de ses employés compromises par la disparition de quatre ordinateurs.

Les données personnelles liées aux collaborateurs, clients ou partenaires comme celles confidentielles liées à l'activité même de l'entreprise, sont aujourd'hui de plus en plus menacées. On identifie plusieurs vecteurs de menaces : les pirates extérieurs à l'entreprise qui commettent des actes de malveillance, et les propres collaborateurs de l'entreprise qui, par négligence - volontaire ou non -, mettent l'organisation en danger.

Pour protéger son capital d'information, l'entreprise se doit de mettre en place un système de protection capable de répondre à la fois aux négligences de ses propres collaborateurs et à l'imagination toujours plus fertile des hackers, dont les moyens techniques sont désormais colossaux.

Il est utopique de penser que l'on va pouvoir protéger l'entreprise à 100% contre le risque de fraude. Finalement, la principale menace ne résiderait-elle pas plutôt dans la certitude qu'ont les dirigeants et les collaborateurs de l'entreprise d'être complètement protégés ? C'est un constat que font l'ensemble des entreprises qui utilisent des solutions traditionnelles de sécurité. Une enquêté réalisée par Websense à l'occasion du salon E-Crime de Londres en mars 2007 montre que 95% des sondés estiment que l'entreprise et sa direction ne sont pas au courant des fuites d'information subies.

Mais alors, s'il n'est pas possible de se protéger à 100%, que doit faire l'entreprise ?
S'il est impossible de garantir le niveau d'étanchéité de l'infrastructure, il est impératif de limiter au maximum l'exposition de l'information sensible aux zones à risques. Cette démarche n'est pas des plus simple car elle nécessite d'impliquer à la fois l'organisationnel, les processus métier et les solutions de sécurisation. Elle doit respecter trois étapes fondamentales :
 
a) L'identification et la localisation des données sensibles
- quelles sont les données sensibles de l'entreprise, sous quelle forme existent-elles, dans quels documents sont-elles enregistrées?  
- où sont stockés ces documents, sur quels ordinateurs, serveurs, bases de données et autres système de fichier ?

b) Comment sont utilisées ces données ?
- qui les fait sortir de l'entreprise ?
- par quel vecteur / protocoles ?
- vers quels destinataires ?

c) Définir et appliquer une politique de sécurisation de ces données sensibles
- sur quels supports ces données peuvent-elles être stockées ?
- quelles règles de sécurité doivent impérativement être appliquées, quels outils de sécurisation doivent-être utilisés ? Criffrement / DRM / blocage?


L'entreprise doit aborder de manière globale la menace de fuite d'informations. Les solutions isolées telles que le chiffrement des disques, l'utilisation de solutions authentification forte n'apportent qu'une réponse extrêmement parcellaire à une problématique beaucoup plus large.

L'entreprise ne peut faire l'économie d'une véritable politique de gestion de ses données sensibles, tant pour préserver son capital que pour se mettre en conformité avec les réglementations toujours plus nombreuses qui la régissent. Sachant que 79% des sondés lors de l'étude E-Crime estiment que la loi  devrait imposer une obligation de transparence en cas d'atteinte aux informations...