A l’occasion des prochaines « Rencontres de la Cybersécurité » (Lyon, Hôtel de Région, 24 octobre 2023), retour sur l’Information comme valeur clé de l’entreprise : si les organisations, publiques ou privées, ont su mettre à profit l’apport des nouvelles technologies dans leurs activités quotidiennes, force est de constater que cela s’est souvent réalisé sans la mise en place de mesures ad’hoc permettant d’assurer la confiance à l’égard de la chaîne de valeur des données ; notamment de leur partage et de leur accès, engendrant potentiellement de graves dangers de sécurité. L’échange d’informations sécurisé, c’est possible.
Avec l’explosion du numérique, les échanges se multiplient entre citoyens, entreprises et administrations. Pour preuve, aujourd’hui, plus de 80 % d’entre-eux sont réalisés par mails ou transfert de fichiers. Internet est d’ailleurs devenu le 1er réflexe, toutes générations confondues.
Ces échanges font cependant l’objet d’une confiance « aveugle » sans que l’on soit forcément en capacité de mesurer, ni de cerner avec précision les dangers que ceux-ci peuvent engendrer. Pourtant, le coût du vol de données en France en 2022 est estimé à plus de 4 millions d’euros (étude PONEMON). Posons-nous donc un instant : quels sont les risques ? quelle méfiance devrions-nous avoir devant ces modes d’échange ? Indiquerions nous, par exemple, notre numéro de carte de crédit avec nom et cryptogramme sur une carte postale ?
Il convient donc de bien distinguer les données que nous échangeons régulièrement ; si certaines peuvent être rendues publiques, d’autres, sensibles, ne peuvent être diffusées sans mesures de protection fortes (contre l’accès ou la prise de connaissance non autorisé). Par ailleurs, ne pas protéger suffisamment les informations sensibles n’est pas seulement un danger pour la crédibilité de l’entreprise. L’usurpation d’identité comme le vol de données stratégiques (business, finance, brevets, etc.) ne cessent en effet de se multiplier depuis ces dernières années. Last but not least, n’oublions pas qu’en négligeant la protection des échanges d’informations sensibles – outre la perte de confiance de ses partenaires et de ses destinataires (sic) – l’on se refuse également la possibilité d’être conforme aux différentes réglementations en vigueur…
S’il y a encore peu la « sécurité des systèmes d’information » faisait la promotion de la protection des données, avec l’avènement de la cybersécurité, il semblerait que seuls les spécialistes de l’intelligence économique ou les délégués à la protection des données puissent encore aborder le sujet. Il faut néanmoins faire preuve d’une grande confiance pour permettre le partage de ses données par des tiers se trouvant à l’extérieur de toute sphère de contrôle…
Pourtant, bien maîtrisées, quelques mesures de bon sens permettraient de prévenir toute fuite éventuelle. Pour cela, il faut garder à l’esprit que si l’utilisateur ne veut pas changer ses habitudes de travail, il veut pouvoir échanger simplement en protégeant les informations par mail, y compris des documents volumineux. Il doit pouvoir également recueillir des données sensibles envoyées par des tiers par le biais de sources qu’il estime sûres. Pour résumer les bonnes mesures à mettre en œuvre, il faut bien s’assurer que l’ensemble des collaborateurs soit conscient de la criticité potentielle de tout échange d’informations. De même l’ensemble des effectifs doit être lucide sur les données sensibles produites ou confiées.
Pour ce faire il convient de :
– Sensibiliser périodiquement le personnel, si besoin en faisant appel aux services de l’Etat (Gendarmerie, DGSI, DRSD…).
– Organiser un schéma de circulation de l’information et instaurer une culture de l’échange au sein de l’entreprise : avant de diffuser une information, il faut absolument en mesurer ses impacts.
– Choisir le (bon) support de diffusion
– Vérifier avec qui l’information va être partagée
– Mettre en place des solutions de confiance pour protéger mails et transferts de fichiers qui soient simples (si l’on tient à ce qu’elle soit utilisée.)
La meilleure manière de protéger les informations passe donc par la mise en œuvre de bonnes pratiques pour les politiques et procédures de sécurité de l’information à l’échelle d’une organisation en sachant que certaines, pas assez rôdées et/ou pas suffisamment sensibilisées, ont testé… et qu’elles ont eu des problèmes !
____________________________
Par Philippe Loudenot, senior advisor du CyberCercle