Définissez la culture du risque au sein de votre entreprise
Si une sécurité trop stricte peut être un frein à l’innovation et au développement de votre entreprise, des risques non maîtrisés pourront être un fardeau en cas de problème, portant atteinte à l’image de votre entreprise et à la confiance qu’ont en vous vos clients. Quoi qu’il en soit, le risque est une affaire de politique d’entreprise, qu’il convient de délimiter.
Il existe de nombreux risques. Pour n’en citer que quelques-uns :
Le risque métier (des mauvaises données entraîneront des mauvaises actions) ;
Le risque financier (gare aux amendes si vous ne respectez pas la réglementation !) ;
Le risque communicationnel (rien de pire pour l’image de votre entreprise qu’une fuite de données…).
Votre contrôle du risque passe par l’analyse de la sensibilité de vos données. Par exemple, des données stratégiques internes à votre entreprise, relevant du secret des affaires, ou encore des données personnelles « sensibles », qui sont énumérées par le RGPD de manière exhaustive :
L’origine raciale ou ethnique ;
Les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ;
Les données génétiques ;
Les données biométriques ;
Les données de santé ;
Les données concernant la vie ou l’orientation sexuelle.
Dans la plupart des cas, vous n’avez même pas le droit de traiter ces données ! Il y a beaucoup d’exceptions, par exemple quand une personne accepte que vous traitiez ses données sensibles… avoir ces données entre les mains vous impose de mieux les protéger !
À l’inverse, lorsque vous vous inscrivez par exemple à une formation dans une école privée post bac, votre professeur ne détient que votre nom et votre prénom…
Sérieux ? 😳
Ce n’est pas vraiment sensible ! Et rassurez-vous, elles sont tout de même protégées.
Si vous traitez des données sensibles, il vous faudra donc un fort degré de sécurité : commencez par une analyse de risques SI, qui aboutira à une homologation de sécurité. L’analyse de risque SI vise à permettre aux dirigeants d’appréhender les risques cyber.
Il vous faudra aussi parfois, en cas de traitement de données à risque, réaliser une analyse d’impact relative à la protection des données…
Une analyse d’impact relative à la protection des données ? 🤨
L’AIPD (c’est son petit nom !) est un document de conformité qui se divise en 3 parties :
La description de ce que vous faites avec les données (raisons de la collecte, données collectées, etc.).
L’analyse des risques qui pèsent sur vos données (l’AIPD doit répondre à ces deux questions : les risques sont-ils susceptibles de se produire, et quelles en seraient les conséquences ?).
Les mesures et solutions apportées pour limiter ces risques de manière raisonnée : les réponses aux questions précédentes vous aideront à mieux identifier vos risques, et à mettre en place les mesures de sécurité adéquates.
Ainsi, si vous ne mettez pas en place les mesures de sécurité minimales, ou si vous mettez en place des mesures trop lourdes, c’est que vous avez mal estimé vos risques. En bref : faites-en assez, mais pas trop !
Analysez l’état de la sécurisation de vos SI
Seule une connaissance de l’état de sécurité de vos SI peut vous permettre de mettre en œuvre une politique de sécurité cohérente.
L’audit interne est une procédure mise en œuvre par l’entreprise pour permettre aux dirigeants d’avoir une vision générale et objective sur la sécurité SI. Cette analyse doit déterminer le niveau de maîtrise réel que vous avez, le niveau que vous attendiez, et les moyens pour y parvenir en cas de différence.
De son côté, l’audit externe, fait par une société extérieure, est un examen qui sert à vérifier que l’entreprise respecte la réglementation. Cela lui permet de certifier une situation spécifique.
Ces deux examens vous permettront :
D’avoir un état des lieux de la sécurité des systèmes d’information ;
De déceler si le système d’information et les outils informatiques utilisés répondent aux besoins de l’entreprise ;
De mesurer la stabilité du système, les vulnérabilités en cas d’attaque, ou encore les risques en matière de disponibilité.
Plusieurs tests de sécurité peuvent être réalisés dans le cadre de ces audits (internes ou externes). Ils vont vous aider à juger le degré de sécurité ou de risque dit « acceptable », notamment en fonction des données et de leur sensibilité.
Parmi eux, le test d’intrusion (ou Pen Test) a pour but d’essayer de pénétrer dans vos systèmes sans autorisation, et de voir jusqu’où vos systèmes vont résister.
Mettez en place les mesures de sécurité techniques nécessaires
De manière générale, les normes ISO sont des référentiels admis au niveau mondial, qui certifient le niveau de qualité d’un produit. En matière de sécurité informatique, la norme ISO/IEC 27001 est la norme de référence ; elle impose certaines exigences de sécurité de base pour préserver l’intégrité, la disponibilité et la confidentialité des données.
N’oubliez pas les mesures de sécurité organisationnelles
Comment êtes-vous organisés ? Où sont les données ? Qui a accès à quoi ? Répondre à ces questions participe à l’élaboration de votre politique de sécurité, car tous vos salariés n’ont pas à connaître toutes vos données.
De manière générale, les mesures de sécurité organisationnelle sont les procédures, contrôles et sensibilisations mis en place pour garantir le niveau de sécurité des données.
Pour les mettre en œuvre, vous pouvez agir sur la manière dont vos données sont agencées, et sur l’accès que vous accordez aux données.
Qu’elles soient physiques ou numériques, on parle ici de cloisonnement des données et d’habilitations : vous devez compartimenter vos informations et n’ouvrir des accès qu’aux personnes qui en ont strictement besoin.
Pourquoi ?
D’une part, c’est une obligation légale : une personne n’a pas, dans le cadre de ses missions, à avoir accès à des données inutiles. Par exemple, le service Communication n’a pas à avoir accès aux données RH, qui lui-même n’a pas à avoir accès aux données de la DSI.
D’autre part, en cas d’attaque ou de violation de données, seulement une partie des données seront touchées, sans forcément compromettre l’ensemble : c’est une limite aux risques de compromission généralisée de votre système d’information. Le nombre d’utilisateurs avec des habilitations larges doit donc être restreint à la direction et à la DSI (qui de fait peut avoir accès à tout).
Ces mesures devront être compilées dans un document SI de référence, la politique de sécurité des systèmes d’information (PSSI). Ce document est un plan d’action qui va vous rappeler les mesures mises en place ou à mettre en place pour maintenir le niveau de sécurité de votre système d’information, et plus généralement de vos données.
À vous de jouer !
Votre travail ici se résume en deux étapes. D’abord, identifier clairement dans cette checklist ce que vous mettez en place dans votre entreprise en matière de mesures de sécurité.
Ensuite, identifiez la sensibilité de vos données : avez-vous des données personnelles « sensibles » ? Des données concernant votre entreprise et le secret des affaires ? Des données que vous ne souhaitez pas rendre publiques ? Etc.
En fonction de vos réponses, adaptez vos mesures de sécurité. Par exemple, n’adoptez pas un hébergeur de données de santé si vous n’avez pas de données de santé !
En résumé
Les mesures de sécurité à mettre en place dépendent de deux choses : de votre vision du risque, et des risques réels (pour les personnes concernées, pour votre entreprise…) qui pèsent sur vos données.
Choisissez des mesures de sécurité adaptées : ni trop peu, ni pas assez.
L’ANSSI, la CNIL, etc. N’inventez rien et référez-vous à des normes et des documents existants qui vous guideront sur les principales mesures de sécurité à mettre en place.
Vous savez désormais l’importance de la sécurité informatique pour vos données : il va falloir maintenant partager ces connaissances avec vos collaborateurs pour sensibiliser toute votre entreprise aux mesures de sécurité !
