Comment protéger les données de l'entreprise ?

Publié le

Comment protéger les données de l’entreprise ?

EN RÉSUMÉ : Tout comme vous mettez en lieu sûr, sous surveillance et sous processus vos ressources ayant de la valeur, vous devez appliquer le même principe à vos données. Leur protection doit être une priorité de la direction et des équipes, il en va de leur responsabilité. Quelle que soit l’utilisation de la donnée (collecte, flux, stockage, archivage, partage), il est primordial de s’assurer de la maîtrise de celle-ci contre les pannes, les tiers malveillants ou des fuites accidentelles par négligence ou méconnaissance. On parle de gouvernance des données au travers de quatre dimensions : la sécurité, la disponibilité, l’utilisabilité et l’intégrité.

Sur l’aspect cybersécurité, la sensibilisation des personnels est cruciale et permet une approche préventive en complément des outils de protection physique (contrôle d’accès, vidéosurveillance) et logique (pare-feu, chiffrage). Le deuxième aspect de la protection des données concerne la disponibilité. C’est à dire la capacité à garantir que les données soient accessibles et le système opérationnel. Finalement, l’utilisabilité et l’intégrité désignent la cohérence, l’actualisation, la fiabilité et la pertinence des données – ce n’est pas notre sujet ici -.

Comme nous l’avons évoqué plus haut, la donnée informatique, même si on la dit « dématérialisée », ne l’est pas du tout. Elle se trouve sur un ou plusieurs serveurs dans l’entreprise ou externalisés partout dans le monde. Physiquement, la donnée est donc vulnérable. Le chef d’entreprise ou le directeur des systèmes d’information (DSI) doit donc en premier lieu se poser la question de la localisation de ses données. Et, selon celle-ci, du niveau de sécurité physique mis en place pour en assurer la protection et la disponibilité. Votre serveur est dans un petit local informatique, êtes-vous sûr que seules les personnes autorisées y ont accès ? Avez-vous anticipé une panne électrique ou un défaut de climatisation ? Pouvez-vous garantir à vos clients que vous maîtrisez leurs propres données ? Votre système d’information est-il dépendant d’un seul accès Internet ? L’externalisation vers des centres de données informatiques est une réponse possible pour se soustraire aux problématiques de protection physique, si tant est que le datacenter choisi correspond au niveau de sécurité requis.

Une fois les données protégées physiquement, il faut s’assurer qu’elle le soit logiquement. Le support de la donnée se doit d’être fiable et protégé des attaques informatiques (virus, déni de service…). Nous n’entrerons pas dans les différentes technologies et matériels, l’important étant que le dimensionnement soit fait selon les besoins réels de l’entreprise et que le système dispose de protection et de secours. La notion de redondance répond à ce besoin en dupliquant le système ou les données vers d’autres serveurs, si possible en un autre lieu. C’est une méthode préventive activable en cas de problème (Plan de Continuité et de Reprise d’Activité : PCA-PRA), qui évite la dépendance complète à un système.

Les données étant des ressources, il faut non seulement prendre en compte la partie technique mais également le facteur humain, ceci dans tout le cycle de vie : conception, mise en place, exploitation, maintenance, obsolescence… Des actions de sensibilisation et de formation sont nécessaires pour compléter les outils physiques et logiques mis en place. Cela quels que soit les choix de modèle (gestion interne ou externalisation) ou de technologie.