Les principes d’une donnée
- Intégrité : l’entreprise doit garantir l’exactitude, la fiabilité de ses données tout au long de leur cycle de vie. Concrètement, un simple accès non autorisé aux données suffit à compromettre ce principe.
- Confidentialité : Les données ne doivent être accessibles qu’aux personnes habilitées, l’accès peut être justifié par le rôle d’une personne au sein de l’entreprise ou de sa mission. La confidentialité se décline sur plusieurs niveaux selon la sensibilité des données et nécessitera donc une politique d’habilitation au sein de l’organisme. Là encore, l’accès à un document confidentiel par un employé non habilité pour, altère la sécurité de ces données.
- Disponibilité : l’information stockée doit continuellement être disponible, ce qu’une attaque DDoS ou un ransomware peut compromettre.
Les risques
Le premier est l’impact direct sur les droits et libertés des personnes concernées s’il s’agit de données personnelles, se définissant comme toute information permettant d’identifier ou de rendre identifiable une personne physique. En effet, la fuite de ce type de donnée engendre un risque non négligeable pour les clients car ils sont alors exposés à l’usurpation d’identité par exemple.
Cette première conséquence a alors un impact direct sur la réputation de l’entreprise, impact plus ou moins fort si elle est dans l’obligation de communiquer cette faille aux personnes concernées (à réaliser si la violation engendre un risque élevé pour leurs droits et libertés) et selon la médiatisation de l’incident. Le préjudice réputationnel est difficilement évaluable d’un point de vue financier mais il est dans tout les cas complexe à réparer car nécessite de rassurer et de regagner la confiance des clients.
Le dernier préjudice émanant des précédents est alors l’impact financier. La baisse de confiance des clients, ternissant la réputation de l’entreprise, sera ressenti sur sa productivité et donc sur son chiffre d’affaire.
Instaurer une politique interne
Aux vues des potentielles conséquences en cas d’altération des données, pouvant aller jusqu’à la faillite, il est primordial de considérer la place des données au sein de l’entreprise et de déterminer une véritable politique interne. Procédures de sauvegardes, de chiffrement, d’habilitation, de violation, il est important de structurer une politique et de définir les postes en charge de la bonne conduite de cette dernière. Une parfaite connaissance de l’état de ses données est également indispensable : quelles sont les données stockées sur le cloud ou on premise et où sont-elles physiquement, quels sont les flux internes et externes des données de l’entreprise ? L’élaboration et la mise à jour d’une cartographie répond à ces interrogations et est un pré-requis à la mise en place de stratégies.
Au-delà de mettre en place une politique interne, le meilleur moyen d’assurer son efficacité est de transmettre les raisons de ces stratégies auprès de ses équipes.
Impliquer les collaborateurs dans la sécurité des données
Au-delà de mettre en place une politique interne, le meilleur moyen d’assurer son efficacité est de transmettre les raisons de ces stratégies auprès de ses équipes. Comprendre pour mieux appliquer, sans cela toutes les stratégies possibles resteront inefficaces si les collaborateurs ne se sentent pas acteurs de la sécurité des données de l’entreprise.
Cette sensibilisation peut se faire de multiples façons et peut même laisser place à la créativité : vidéos, en présentiel, réalisation de quizz, de test d’intrusion, de mise en situation. Libre à chacun d’adapter la forme selon l’activité de l’entreprise, son mindset ou encore le nombre d’employés. Faire cependant en sorte que la sensibilisation marque les esprits par la forme ou le contenu est le meilleur moyen d’impliquer les collaborateurs.
Ça n’arrive pas qu’aux autres
C’est l’idée qu’il faut garder en mémoire, car trop souvent le cyber risque est sous-estimé dans sa fréquence, le milieu informatique étant souvent abstrait ou obscure pour les chefs d’entreprise. Néanmoins, il existe, et l’actualité nous prouve qu’il n’est plus possible de le négliger.
La sécurité des données doit ainsi faire l’objet d’une évaluation et d’une gestion continue des risques qu’elle représente par l’adoption de mesures techniques et organisationnelles internes. La solution d’une cyber assurance, démocratisée aux Etats-Unis plus qu’en Suisse, peut également être réfléchie pour mitiger l’impact financier que pourrait avoir l’altération des données de l’entreprise.
Et maintenant?
Si vous avez des questions sur la protection des données de votre entreprise, l’équipe Datago se tient disponible pour vous.
