Les informations sensibles de l’entreprise sont au cœur d’un véritable trafic destiné à de l’espionnage industriel, à une attaque informationnelle ou une opération d’extorsion de fonds.
Même si la plupart des entreprises ont déjà investi dans de nombreuses solutions de sécurité de leur système d’information (contrôle des accès, surveillance de réseaux, sécurité applicative, technologies ad hoc, cryptographie) pour accompagner la digitalisation massive des données, même les plus sensibles. Il semble pour autant évident que leurs informations ne sont pas aussi bien protégées que les décideurs de l’entreprise l’imaginent.
Chaque jour les menaces augmentent et deviennent de plus sophistiquées.
La fuite d'informations sensibles dont a été victime le constructeur naval français DCNS en ce mois d’août 2016, illustre s’il était encore possible d’en douter, que ce type de situation est en mesure de fragiliser une entreprise.
Quand cela se produit, les résultats peuvent être catastrophiques pour la réputation et la crédibilité de l’entreprise.
Gerer les risques de la supplychain agroalimentaire
Protection des Informations Sensibles : Arrêtez le serpent de mer et passez à l’action !
1. 2016 Copyright emoveo. Tous droits réservés
La protection des informations sensibles de
l’entreprise : Arrêtez le serpent de mer et passez à
l’action !
Août 2016
2. 2016 Copyright emoveo. Tous droits réservés
Les informations sensibles de l’entreprise sont au cœur d’un véritable trafic destiné à de l’espionnage
industriel, à une attaque informationnelle
1
ou une opération d’extorsion de fonds.
Même si la plupart des entreprises ont déjà investi dans de nombreuses solutions de sécurité de leur
système d’information (contrôle des accès, surveillance de réseaux, sécurité applicative, technologies
ad hoc, cryptographie) pour accompagner la digitalisation massive des données, même les plus
sensibles. Il semble pour autant évident que leurs informations ne sont pas aussi bien protégées que
les décideurs de l’entreprise l’imaginent.
Chaque jour les menaces augmentent et deviennent de plus sophistiquées.
La fuite d'informations sensibles dont a été victime le constructeur naval français DCNS en ce mois
d’août 2016, illustre s’il était encore possible d’en douter, que ce type de situation est en mesure de
fragiliser une entreprise.
Quand cela se produit, les résultats peuvent être catastrophiques pour la réputation et la crédibilité de
l’entreprise.
C’est la raison pour laquelle, nous souhaitions avancer quelques recommandations pour mettre en
œuvre des actions concrètes.
Traitez l’organisationnel, le technique et l’humain
Vouloir acquérir une nouvelle solution pour sécuriser ne suffit pas, il convient de traiter la protection
des informations les plus sensibles en adressant 3 domaines : l’organisationnel, le technique et
l’humain.
3. 2016 Copyright emoveo. Tous droits réservés
Sur le plan organisationnel
Il convient de procéder à une classification d’informations sensibles de l’entreprise en fonction de leur
importance.
Toutes les informations de l’entreprise doivent être passées en revue : celles concernant la technique,
le commerce, le marketing, l’économique, le financier, les ressources humaines, le système
d’information, le juridique, le stratégique, l’organisation.
Toutes ne sont pas sensibles. C’est la raison pour laquelle il convient d’analyser les risques attachés
aux données identifiées.
Cette première analyse doit être poursuivie en identifiant les personnes habilitées à y accéder.
Ce travail d’analyse sur le plan organisationnel peut s’appuyer sur différentes méthodologies.
Mais au-delà de la méthode, c’est l’implication des principaux décideurs (PDG et N-1) pour procéder
aux arbitrages et acter les résultats qui constitue le facteur de succès de cette démarche.
Sur le plan technique
Il est essentiel de chiffrer les informations les plus sensibles. Ces dernières devront également être
stockées sur des serveurs sécurisés.
Il vous appartient également de « prévenir plutôt que guérir ». Vous pouvez donc choisir certaines
solutions vous permettant aujourd’hui d’être alerté en cas de consultation non autorisée des données
sensibles ou dans certaines situations (Temps de consultation élevé, tentative de sorties des données
selon les fonctionnalités des applications choisies).
Afin de prévenir toute résistance au changement, cette sécurisation peut-être perçue par les
utilisateurs comme complexe et contraignante. Pour un résultat optimal, les solutions techniques
sélectionnées devront s’intégrer facilement dans leur environnement de travail.
Point de vigilance : Si vos informations sensibles sont hébergées chez un prestataire de services. À
l’occasion de la contractualisation, il est nécessaire de s’assurer des solutions de sécurisation mises
en place. Tout au long du contrat, il vous appartient également de vérifier au travers d’audits réguliers
de leur mise en place effective.
Sur le plan humain
Souvent mis de côté, l’aspect humain est un facteur à risque pour l’entreprise.
Transfert de données vers une adresse email personnelle ou un ordinateur non sécurisé, erreurs
involontaires, extorsion d’information sont autant d’exemples de situations dans lesquelles est
impliqué le facteur humain.
C’est la raison pour laquelle, il est important d’instaurer une culture de sécurité par le biais d’actions
de sensibilisation et de formations des responsables accédant aux informations sensibles.
4. 2016 Copyright emoveo. Tous droits réservés
Cela peut passer par des exercices de mise en situation, le témoignage au sein de l’entreprise de
référents des forces de l’ordre ou de témoins clés d’entreprises d’un secteur d’activité différent du
vôtre.
Ces différentes actions devront porter sur les risques comme sur les bonnes pratiques pouvant être
appliquées par chaque utilisateur.
Passez à l’action
Nous l’avons vu précédemment, la protection des informations sensibles de l’entreprise ne peut se
résumer à la mise en place uniquement de solutions techniques.
Mais sur les autres aspects, elle est encore trop souvent considérée dans l’entreprise comme un
serpent de mer.
C’est la raison pour laquelle il est important d’associer les décideurs, dans un temps fort et très court,
afin d’acter les solutions à mettre en place et s’engager sur des actions.
Exemple de l’implication des décideurs sur un temps fort et très court.
Comme nous l’avons réalisé au sein deux entreprises multinationales depuis le début de cette année
2016, il est important que cette implication des décideurs débute par un exercice de mise en situation
afin de favoriser le partage d’une même vision sur les enjeux et leur engagement dans l’action.
5. 2016 Copyright emoveo. Tous droits réservés
1
Attaque informationnelle : Action délibérée et limitée dans le temps visant à utiliser la connaissance
contre un adversaire choisi. C’est un phénomène rumoral visant à nuire intentionnellement à une
entité identifiable (personne physique ou morale, marque, technologie, etc.), ou à ses intérêts.
(Source : Portail de l’IE)
Pour plus d’informations, contactez :
Jean-Marc Sépio
Associé emoveo
Crises & Transformations
jmsepio@emoveo.fr
À propos d’emoveo :
Cabinet de conseil en Stratégie et Transformation d’entreprises et d’organisations fondé en 2008 par des associés ayant
20 ans d’expérience dans le conseil et l’opérationnel, emoveo aide ses clients à construire leur vision stratégique, à mener
leurs projets de transformation, à améliorer la performance opérationnelle de leur entreprise, à conduire efficacement les
changements.
emoveo revendique un style de travail qui lui est propre, le « Side Management ® », qui repose sur un engagement fort et
place le capital humain au cœur de la création de valeur.
emoveo accompagne ses clients en France et à l’International depuis 3 bureaux : Paris, Lyon, Toulouse (siège social).