Comme l’a montré l’affaire « Panama papers », la fuite de données est un risque auquel toute entreprise peut être confrontée. Des solutions de sécurisation existent, en voici un panorama rapide.
On ne le dira jamais assez : la valeur d’une entreprise réside en grande partie dans ses données. Fichiers clients et fournisseurs, données de recherche ou du personnel, sources comptables sont autant d’informations accumulées au cours des années, sans lesquelles l’entreprise ne peut plus fonctionner. Il est donc crucial et souvent légal de les conserver et de les protéger.
Aujourd’hui, la plus grande partie des fuites de données proviennent de l’intérieur. Elles sont rarement volontaires. Un employé peut envoyer un fichier par email sur une messagerie non sécurisée, un autre apporter une clé USB à un prestataire sans s’apercevoir de l’existence d’un dossier confidentiel sur ce support, un troisième travailler dans le train et utiliser un réseau public… Autant de comportements apparemment anodins mais dangereux.
Il existe aussi des attaques extérieures ou de piratage, plus ou moins bien organisées. L’année dernière, le groupe hôtelier américain Starwood a été la cible de hackers qui récupéraient les données bancaires des clients. Plus fréquemment, des sinistres (pannes, incendies, inondations,) peuvent endommager les espaces de stockage et rendre irrécupérables les fichiers. Enfin, il arrive que l’on subisse la défaillance d’un prestataire à qui l’on avait confié certains éléments précieux.
Face à tous ces risques, la première réponse de l’entreprise est d’avoir une vision claire de son patrimoine de données et son architecture réseau. Autrement dit, il lui faut commencer par lister les données en fonction de leur importance et de leur confidentialité. Ensuite, il sera nécessaire de définir qui peut accéder à quel type de données via une gestion des habilitations. Par exemple, on peut cantonner les fichiers du personnel à un réseau privé accessible uniquement aux responsables RH et ouvrir certaines informations à des tiers sur un réseau public. Cette gestion des habilitations peut être renforcée avec des outils de contrôle du trafic et des pare feux avancés pour filtrer les accès. Pour la gestion des envois, les solutions de réseaux privés type VPN sont très efficaces.
Mais un des enjeux souvent oubliés réside dans le stockage des données elles-mêmes. L’entreprise doit décider de l’emplacement géographique de ses fichiers : dans ses propres locaux, dans des salles secondaires pour des sauvegardes, dans un datacenter. Dans tous les cas, certaines précautions s’imposent. Si l’entreprise conserve ses données dans une salle informatique chez elle, il lui faut s’assurer de l’existence d’une sécurité anti-incendie, d’un contrôle d’accès optimal, de la continuité du service électrique. Autant de protections qui sont souvent oubliées ou considérées comme non-prioritaires par les dirigeants.
Si l’entreprise choisit d’externaliser ses données, elle doit examiner avec soin les offres proposées. Si elle loue une baie dans un datacenter, le choix du site d’hébergement doit reposer sur des critères objectifs tels que la sécurité du site (contrôles vidéos, alarmes anti-intrusion…) et les systèmes de continuité électrique. De plus, dans ce cas, pour les échanges, mieux vaut privilégier une interconnexion en réseau privé entre la baie et le siège de l’entreprise. Ce « cloud privé » assure un transit sécurisé des données.
Pour les entreprises qui préfèrent passer par un hébergeur et optent pour un emplacement mutualisé, alors il est hautement préférable de chiffrer les données.
Quelle que soit la solution choisie, la vigilance s’impose. De la même manière que le soir, on ferme la porte de son entreprise en partant, le dirigeant doit sélectionner des endroits cloisonnés et sécurisés pour stocker ses données et savoir à qui il donne les clefs.
_________
Nicolas Aubé est président de Celeste