Selon le dernier rapport d’enquête 2015 publié par Verizon, l’estimation des pertes financières engendrées par la compromission de 700 millions d’enregistrements de données s’élèvent à 400 millions de dollars et témoigne de l’importance réelle de la gestion des risques de pertes de données pour les entreprises. En outre, l’erreur humaine ressort comme l’un des facteurs invariables des failles de sécurité. En effet, en 2015, 23 % des destinataires ont ouvert des messages de phishing, et 11 % ont cliqué sur des pièces jointes compromises. L’envoi d’informations sensibles à des destinataires incorrects (30 %) et la publication de données non publiques sur des serveurs Web publics (17 %) figurent également parmi les erreurs récurrentes des employés pouvant conduire à des failles de sécurité. Ces erreurs coûteuses pour les organisations, quelle que soit leur taille, concernent tous les niveaux de l’entreprise, des membres du comité de direction aux employés.

La protection d’une entreprise contre une faille de sécurité fait partie intégrante des priorités des comités de direction qui ne sont pas à l’abri de ce type d’erreurs humaines. Pourtant, ces derniers sous-estiment souvent un élément clé de la chaîne de cybersécurité : leur propre rôle en tant que garants des informations de l’entreprise. En effet, une partie des informations les plus sensibles d’une entreprise – informations relatives aux fusions et acquisitions, contrats de négociations, compensations des collaborateurs, plans stratégiques, financiers ou données clients – sont consignées dans des rapports de comités de direction souvent transmis en format PDF aux membres du conseil via des emails non sécurisés, voire envoyés par courrier en version papier en amont des réunions.

Il arrive fréquemment, du fait que le conseil exécutif se trouve au sommet de l’organisation, que celui-ci soit exclu par défaut des processus de sécurité qui s’appliquent au reste de l’entreprise. Cela s’explique le plus souvent par le fait que les équipes informatiques évitent d’imposer des solutions « non désirées » – car difficiles à appréhender techniquement – aux personnes les plus seniors d’une entreprise, ce qui autorise ces dernières à circuler avec des informations confidentielles en version papier d’un rendez-vous à l’autre, ou d’enregistrer ces données n’importe où. Dans ce cas, l’éventualité d’une faille de sécurité devient non seulement plus que probable, mais s’accompagne d’un autre problème : une sécurité « laxiste » au niveau de la direction de l’entreprise risque de discréditer le travail du DSI qui essaie de renforcer les pratiques de sécurité dans l’ensemble de l’entreprise, et donc de compromettre la sécurité globale de l’entreprise.

Pour surmonter ces problèmes, les informations relatives aux CoDir doivent être soumises aux mêmes règles de sécurité que l’ensemble des données de l’organisation. Cela signifie qu’ils doivent savoir à tout moment où se trouvent les données et éviter à tout prix l’oubli de documents confidentiels à l’arrière des taxis ou sur les sièges d’avion. Pour ce faire, le moyen le plus efficace est de renoncer complètement aux versions papier au profit de documents dématérialisés. Les données numérisées sont en effet plus sécurisées lorsqu’elles sont chiffrées et uniquement accessibles avec une clé numérique pour prévenir toute tentative de piratage. En outre, la dématérialisation des documents facilite le contrôle des accès aux données par les membres autorisés du CoDir, et permet ainsi de prévenir l’accès par des personnes extérieures à des informations sensibles et confidentielles.

La sécurité est une problématique incontournable pour les conseils de direction. Il s’agit aujourd’hui de l’un des sujets les plus critiques pour une entreprise, les failles potentielles pouvant nuire de manière irrévocable à sa réputation. Si comme l’indique l’étude, dans 60 % des cas, les pirates peuvent compromettre une organisation en quelques minutes, il est donc indispensable pour l’avenir des entreprises que la sécurité au niveau du CoDir reste en tête des priorités.

_____
Stéphane Tallieu est Directeur des Ventes pour la France de Diligent