Savons-nous aujourd’hui comment protéger efficacement nos informations ? Pilier de la sécurité des entreprises, la protection de l’information est essentielle de nos jours. Tour d’horizon sur les bonnes pratiques pour sécuriser vos données.
La protection des informations est aujourd’hui devenue un sujet sensible pour toute entreprise. Avec le développement des moyens de communication modernes et la prolifération des échanges dématérialisés, les données détenues par les organisations doivent faire l’objet d’une attention renforcée. Quels types d’informations cela concerne-t-il ? Comment les cybercriminels exploitent-ils les failles de sûreté ? Et comment sécuriser ce que la société produit ou émet ?
Protéger (aussi) son système de veille
Il serait tout d’abord illusoire de croire que la protection de l’information en entreprise ne concerne que les données sensibles. En d’autres termes, sécuriser les données ce n’est pas seulement mettre à l’abri les renseignements financiers (investissements, marges…), économiques (parts de marché, chiffre d’affaires…) ou stratégiques (lancements, acquisitions…). La protection de l’information porte également sur toute indication pertinente relative à l’activité de l’entreprise (fiches techniques, cotations, arguments de vente…). Autant d’éléments qui militent en faveur d’une protection des informations surveillées dans le cadre de la veille. Même s’il s’agit d’informations « blanches », c’est-à-dire d’informations disponibles en libre accès sur Internet, savoir que l’entreprise s’y intéresse peut déjà en dire long et révéler une partie de sa stratégie.
Bon à savoir également : se protéger ne se limite pas à contrôler les informations gérées par l’organisation elle-même, et pour elle-même. D’autres informations peuvent être gérées par l’entreprise pour le compte de tiers (partenaires commerciaux, fournisseurs, distributeurs, etc.), et par des tiers pour le compte de l’entreprise. La protection des données intervient donc dans un périmètre plus large que celui propre à l’organisation.
Identifier les menaces externes
Second élément à considérer : une entreprise peut constituer une cible – et ce de plus en plus, comme en témoigne l’actualité récente. Il apparaît donc nécessaire d’identifier le plus en amont possible les différentes menaces et d’évaluer leur probabilité d’occurrence. Ces menaces peuvent être liées à des actions illicites destinées à exploiter des failles de la politique de sûreté de la société, comme les vols, les piratages informatiques ou les rançongiciels (ransomwares). Elles peuvent provenir des campagnes de désinformation vouées à nuire à l’image ou à la réputation de l’entreprise, de rumeurs ou de propos intentionnellement malveillants ou d’un manque de prudence de l’entreprise et de ses collaborateurs.
L’absence de surveillance des documents, les déplacements professionnels, la prise de parole publique, l’échange professionnel dans un lieu fréquenté, etc., sont autant d’opportunités de surprendre ou d’obtenir des informations qui ne sont pas censées être divulguées.
Repenser le cycle de vie de l’information
Identifier la source des menaces permet de combler les brèches existantes au sein de l’entreprise et d’instaurer les correctifs appropriés. Les collaborateurs doivent être sensibilisés et responsabilisés à la sécurité des données (enjeux, conséquences, menaces, etc.). De même, le cycle de vie doit être repensé, tout comme la traçabilité de l’information. Des procédures doivent être rédigées et respectées pour chaque étape (acquisition, diffusion, conservation, destruction). Il est également nécessaire d’encadrer les stagiaires, les apprentis, le personnel intermédiaire, les sous-traitants… notamment dans le cadre de leurs rapports de stage et notes de travail : ceux-ci peuvent contenir des informations confidentielles.
Un bon conseil : pour protéger les informations les plus sensibles, il faut les identifier, les trier et lister les personnes qui peuvent y avoir accès. Toujours rester vigilant aux origines et aux conditions de stockage de l’information sensible : chiffrement des données, clauses de confidentialité, etc.
Des systèmes de protection et de la sensibilisation en interne
Pour continuer de protéger vos informations, protégez aussi vos innovations auprès de l’Institut national de la propriété industrielle (dépôt de brevets, dessins et modèles industriels…), sécurisez les accès à vos locaux d’entreprise (codes, badges, biométrie…) et restreignez l’accès à certaines zones (salle des serveurs, bureaux de la direction, centres de R&D). Vous pouvez aussi encadrer la navigation sur Internet en interne en utilisant un compte administrateur.
Au niveau individuel, sensibilisez tous les collaborateurs aux bonnes pratiques : chacun se doit de veiller aux données qu’il manipule, d’être discret et de faire attention à ses propos, surtout dans les lieux publics, comme sur les réseaux sociaux et dans ses e-mails.
Enfin, pour protéger le matériel, désactivez toujours le Wi-Fi et le Bluetooth sur votre téléphone portable professionnel lors de la visite d’un salon professionnel ou d’un lieu public. Mettez en place des codes de sécurité complexes et modifiés régulièrement et ne laissez jamais la session de votre ordinateur professionnel/personnel ouverte. Stockez le minimum de données nécessaires sur votre ordinateur portable, veillez à ce qu’elles soient chiffrées et n’utilisez que des supports informatiques d’origine externe connus et contrôlés. Si vous vous rendez à l’étranger dans un pays sensible, soyez particulièrement vigilant et ne laissez jamais votre matériel sans surveillance, au restaurant ou dans votre chambre d’hôtel.
La protection de l’information est aujourd’hui un pilier fondamental de la sécurité d’une entreprise. Pour protéger la vôtre, adoptez ces bonnes pratiques.