linkedin twitter
Sécurisation et accès aux données

Sécuriser les données d’une entreprise devient un sujet critique pour les organisations. Ces dernières années, un nombre toujours plus croissant d’organisations sont victimes de cyberattaques ou d’intrusions dans leurs systèmes d’informations. D’après le Baromètre de la cybersécurité en entreprise CESIN 2022, plus d’une entreprise française sur deux a vécu au moins une cyberattaque au cours de l’année 2021.

Si la majorité de ces attaques se concentrent sur le détournement d’argent, certaines se focalisent sur les données des organisations. Moins frontal qu’une demande de rançon, le vol de données est plus subtil mais peut néanmoins engendrer des dégâts conséquents. Outre les attaques provenant de l’extérieur, l’organisation doit aussi se prémunir des usages en interne. L’organisation doit s’assurer que les usages de la donnée respectent les standards mis en place pour éviter d’éventuelles pertes de données.

L’objectif de cet article est de présenter des techniques pour se préparer au mieux à la sécurisation et à la protection des données de l’entreprise.

Sécuriser les données de votre entreprise

 

Comprendre les risques liés au vol ou à la perte de données

Une entreprise qui présente des failles dans sa politique de protection et de sécurisation des données s’expose à de nombreux risques :

  • Le risque financier. Une organisation qui ne sait pas protéger les données qu’elle possède s’expose à des sanctions financières de la part d’organismes réglementaires (CNIL, ACPR, etc.). Chaque année, la CNIL sanctionne des entreprises ne respectant pas le Règlement Général sur la Protection des Données.
  • Le risque de réputation. Une organisation qui subit un vol ou une perte de données avoue ne pas être digne de confiance auprès de ses partenaires. En conséquence, cela peut peut les amener à travailler avec d’autres organisations.
  • Le risque opérationnel. Une organisation qui laisse un libre accès à ses données à tous ses collaborateurs s’expose à une exploitation non encadrée de la donnée. Des risques de modification des données sources ou encore une diffusion des données sensibles sont à craind.
  • Le risque économique. Les données d’une organisation perdues ou volées peuvent être exploitées par des acteurs concurrents du marché.

 

Identifier le niveau de sensibilité de la donnée

Les organisations détiennent une multitude de données. Néanmoins, toutes n’ont pas la même valeur, ni la même sensibilité. Reconnaitre et classer ces données en fonction de critères prédéfinis permet de définir des grands principes de protection de la donnée.

Organiser les données pour mieux les sécuriser

 

En premier lieu, identifier la nature de la donnée comme critère spécifique paraît une bonne solution.

La nature de la donnée est définie par le caractère personnel et sensible de la donnée. Au sein de cet indicateur, 3 sous-catégories existent :

  1. Les données de santé : ces données sont hautement personnelles et soumises à une réglementation spécifique que la CNIL détaille ici : https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante.
  2. Les données personnelles : ce sont les données relatives à une personne physique permettant son identification, directement ou indirectement.
  3. Les données métier : les données propres à chaque organisation qui lui permettent de réaliser son activité au quotidien.

Cette première classification permet de facto d’identifier les données qu’il faut sécuriser en priorité. Par conséquent, l’entreprise peut déterminer des stratégies de stockage ou de chiffrement pour chacune de ces catégories de données.

 

Définir le niveau de confidentialité d’une donnée

Egalement, un autre critère que l’organisation peut installer est celui de la confidentialité de la donnée. En effet, la confidentialité de la donnée permet de définir le niveau d’utilisation et de partage d’une donnée de l’entreprise. Cet indicateur se compose de 5 sous-catégories :

  1. Les données publiques. Ces données ne présentent pas de caractère sensible et peuvent être largement communiquées auprès de populations diverses et variées.
  2. Les données internes. Ces données sont propres à l’usage interne de l’organisation.
  3. Les données restreintes. Ces données sont propres à l’usage d’un groupe. La diffusion de ces données nécessite un accord du responsable de ce groupe.
  4. Les données confidentielles. Ces données sont sensibles et ne sont partagées qu’au sein d’un groupe dont les membres sont précisément identifiés.
  5. Les données secrètes. Ces données ne concernent qu’une poignée de personnes ayant des pouvoirs hiérarchiques ou des certifications reconnues pour accéder à ces données.
Sécurisation et accès aux données

 

Grâce à ce deuxième indicateur, l’organisation peut définir pour chaque donnée les personnes qui peuvent ou non lire ou manipuler ces données.

Pour respecter la confidentialité de chacune de ces données, il est intéressant de définir pour chaque groupe de données, un profil utilisateur type ayant des habilitations et droits bien définis. En définitive, il est plus facile pour la société de limiter les accès et les usages non autorisés à un type d’utilisateurs qu’à chaque individu de l’entreprise. Cela facile le contrôler des abus et d’améliorer la sécurité des données.

De même, associé à cette stratégie de « profil utilisateur type », mettre en place un suivi des authentifications est aussi un bon moyen pour superviser et tracer les activités des collaborateurs.

 

Utiliser des solutions informatiques pour sécuriser la donnée

Finalement, en fonction du travail de classification des données réalisé, l’entreprise peut implémenter des solutions techniques afin de mieux sécuriser l’accès et l’usage de la donnée. Des stratégies plus ou moins lourdes peuvent être mises en place en fonction du risque encouru et de l’origine du risque.

Une des solutions de premier niveau est de filtrer/masquer les données pour les utilisateurs non habilités. Par ce biais, un utilisateur qui n’a pas les habilitations nécessaires aura une interface différente d’un utilisateur qui possède ces droits.

Ensuite, il est aussi possible de chiffrer ou crypter les données sensibles. Cette stratégie demande d’investir dans des mécanismes de cryptage (définition des algorithmes à appliquer) et de Key Management System (KMS) – solutions de gestion des clés cryptographiques.

 

Déterminer une organisation autour de la sécurisation des données

La mise en place d’une organisation et d’une culture pour définir et garantir la politique de sécurité et de protection des données d’une organisation reste prioritaire. Quels que soit les outils technologiques utilisés l’organisation reste la clé. Il est par exemple important :

  • De définir des protocoles pour limiter le stockage des données sensibles,
  • D’avoir des partenaires respectant des engagements de sécurité forts,
  • De limiter les accès aux données aux collaborateurs non habilités
Sécurisation et accès aux données

 

Toutes ces pratiques sont plus efficaces que d’investir dans des applications dernières générations.

Enfin, il est fortement recommander de nommer un Responsable de la Sécurité des Systèmes d’Informations (RSSI). En effet, ce profil est chargé de limiter au maximum les risques cités plus haut dans cet article. Comme l’explique cet article de Zdnet, le RSSI est garant de la bonne marche de l’entreprise à respecter les règles de sécurité. Ce dernier doit travailler et accompagner les métiers pour les sensibiliser aux risques. Par conséquent, cela permet d’inculquer les notions de la sécurisation des données à tous. Sans cela, le RSSI est considéré comme un frein pour les activités des entreprises.

 

Tout le monde concerné par la sécurité

La protection et la sécurisation des données de l’entreprise reste une mission complexe. En effet, la donnée étant évolutive au cours du temps, les règles de protection et de sécurisation doivent évoluer au même rythme.

Bien entendu, des méthodes existent pour identifier et classer les données. Cela aide à la mise en place de stratégies de sécurisation et d’accès adaptées. Cependant, il n’en reste pas moins que cela n’est pas suffisant.

Au final, l’enjeu majeur pour les entreprises est de sensibiliser les métiers à cette notion vitale pour l’entreprise. L’entreprise doit réussir à les impliquer dans la mise en place d’actions efficaces. L’objectif n’est pas de contraindre les activités des métiers mais de réguler pour mieux contrôler et ainsi réduire les risques au maximum.

 

Sources :

https://www.cesin.fr/actu-7eme-edition-du-barometre-annuel-du-cesin-enquete-exclusive-sur-la-cybersecurite-des-entreprises-francaises.html

https://www.zdnet.fr/actualites/qui-est-responsable-de-la-cybersecurite-le-rssi-le-dsi-le-pdg-ou-vous-39826198.htm

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Voir plus
scroll to top