Ces dernières années, les histoires de fuites de données retentissantes et très médiatisées n’ont pas manqué. Par exemple, tout le monde a entendu parler de l’affaire des documents secrets du gouvernement britannique retrouvés dans un train en juin 2008.
On se souvient que ces documents expliquaient en détail la politique de lutte du Royaume-Uni contre le financement du terrorisme, le trafic de drogue et le blanchiment d’argent…
Si elles sont très médiatisées, les affaires de ce type sont cependant rares… On parle beaucoup moins des milliers d’entreprises qui se font pincer pour avoir manipulé ou utilisé à mauvais escient des informations confidentielles sur leurs clients. Dans une étude récente sur la sécurité des données, près de la moitié des 500 responsables informatiques interrogés ont reconnu avoir déjà été confrontés à une violation de données.Bruno Labidoire, Directeur Technique Europe du Sud détaille la question.
Ce genre d’événement est terriblement dommageable en termes d’image mais, de plus, les entreprises convaincues de violation de données s’exposent à des sanctions de plus en plus sévères. Par exemple, au Royaume-Uni, l’Information Commissioner’s Office (ICO), un organisme public indépendant a été créé pour promouvoir l’accès aux informations officielles et protéger les données personnelles. Celui-ci a durci son approche et a collecté 2 millions de livres sterling suite aux amendes distribuées aux entreprises qui enfreignaient ses consignes.
Dans notre économie de l’information, les données d’une organisation sont son principal actif. Mais si des données privées sont rendues publiques ou tombent entre de mauvaises mains, cet actif peut aussi causer sa chute. Le développement commercial, l’implantation de nouveaux territoires, les fusions-acquisitions sont autant d’activités qui rendent la question de la protection des données de plus en plus complexe. Qu’est-ce qu’un professionnel de la sécurité doit faire pour s’assurer que les efforts de son entreprise vont dans le bons sens et la mettent à l’abri du danger ?
1. Connaître les lois et les réglementations
Selon une étude récente, 65% des responsables informatiques estiment qu’il est difficile de respecter les réglementations sur la confidentialité et la protection des données. Le fait qu’en Europe les lois sur la confidentialité des données diffèrent d’un pays à l’autre suffit à expliquer pourquoi. Les professionnels de la sécurité informatique doivent faire en sorte d’être au courant de tous les textes de loi et réglementations qui sortent pour réagir en conséquence et réduire le risque de violation de données.
2. Rester informé sur ce qui se passe et les nouveaux risques
Les professionnels de la sécurité doivent aussi faire leur travail personnel. Il est indispensable qu’ils se tiennent au courant de ce qui se passe, des problématiques qui apparaissent, qu’ils sachent qui a été victime d’une fuite de données et comment cela s’est produit. Actuellement par exemple, l’origine la plus fréquente des fuites de données est la perte d’un ordinateur portable ou d’un appareil mobile contenant des données de l’entreprise. Les responsables sécurité sont-ils conscients de ce problème, en prennent-ils toute la mesure et si oui, que font-il pour le résoudre ?
Ils doivent s’intéresser activement aux problématiques qui émergent, lire et se documenter, participer aux conférences sur ces sujets, écouter ce que leurs homologues ont à dire sur la manière dont les criminels, mais aussi des personnes de l’entreprise bien intentionnées ou au contraire malveillantes, mettent à mal ou déjouent la sécurité, et sur ce qu’il est possible faire pour réduire les risques.
3. Communiquer, communiquer, communiquer
Les professionnels de la sécurité ne doivent pas se contenter de communiquer avec leurs homologues. Il est essentiel qu’ils échangent avec les membres du comité exécutif de l’entreprise pour s’assurer que les mesures prises pour éviter les fuites de données sont les bonnes. Les membres du ComEx qui ne s’occupent généralement pas de technologie, typiquement le directeur général et le directeur financier, doivent également être dans la boucle si le responsable sécurité veut démontrer son utilité et justifier l’investissement dans les technologies et les services nécessaires pour protéger l’entreprise.
4. Veiller à protéger les résultats
Les professionnels de la sécurité doivent toujours avoir à l’esprit la performance et les résultats de l’entreprise. L’arbitrage peut être difficile entre consacrer des ressources énormes au déploiement des technologies et des services de sécurité et prendre le risque, jamais certain, qu’une fuite de données se produise. C’est aux professionnels de la sécurité qu’il incombe de trouver le bon équilibre.
Quand l’information est le principal actif d’une organisation, celle-ci doit s’assurer qu’elle fait tout ce qu’il est possible de faire pour protéger cet actif. Cela l’aidera à éviter les pièges et les risques de la violation de données. En suivant ces quelques conseils, les responsables sécurité peuvent facilement réduire le risque de se voir attaquer sur ce qui relève de leur responsabilité.
|