Cybersécurité : sécuriser les données de l’entreprise

Quelle que soit sa taille, une entreprise détient des données sensibles à protéger. Fichiers clients, contrats, données personnelles des salariés, documents techniques, stratégie commerciale… :
un vol, une fuite, une altération ou une indisponibilité de ces données peut avoir des conséquences économiques, stratégiques et d’image pour l’entreprise.
De nombreux cas relatés dans les médias ces dernières années l’ont prouvé.
Antoine Toupet, responsable de la sécurité des systèmes d’information et consultant en cybersécurité chez CNPP Cybersecurity, nous explique comment protéger les données sensibles.

Quel est le point de départ d’une politique de protection des données ?

Antoine Toupet. Pour protéger leurs données, les entreprises ont d’abord besoin de comprendre leur système d’information. Pour cela, elles doivent se demander quelles sont leurs données, quels sont les process et activités qui interagissent avec ces données (également appelés « actifs primaires ou primordiaux » dans le domaine de la gestion des risques) et sur quoi ils reposent, c’est-à-dire ce qui permet de les faire fonctionner ou d’avoir une donnée accessible, disponible et utilisable : serveurs, réseaux, utilisateurs, infrastructure, applications, fournisseurs… À partir de là, les entreprises vont pouvoir identifier les risques et visualiser ce qu’il faut protéger.

Une fois que l’on sait qu’on a des données sensibles stockées sur tel serveur, qu’on y accède depuis tel équipement, sur tel réseau, qu’elles sont manipulées de telle manière, on recherche s’il existe des vulnérabilités pour ensuite les corriger pour que le niveau de risque soit acceptable par rapport à une échelle validée par la direction (conséquences sur l’organisation en cas d’incident, probabilité que le risque se produise…).

L’idée est de mettre en relation la donnée et le besoin en sécurité de l’information, à savoir le besoin en confidentialité, disponibilité et intégrité. La donnée doit-elle être disponible 24 heures sur 24, 7 jours sur 7 ou est-ce que je peux avoir une indisponibilité d’une demi-journée par exemple ? Si l’information fuite, si une personne non habilitée y a accès, est-ce préjudiciable ? Si l’information est modifiée, quel est l’impact ? Les réponses à ces questions vont permettre de mettre en place les mesures de sécurité adéquates et éviter de faire de la « sur-sécurité ».

Comment savoir quelles données protéger, comment faire le tri ?

A.T. Il y a différents niveaux de classification de l’information. Ces niveaux sont déterminés pour chaque organisme mais nous travaillons en général avec quatre niveaux :

– les données publiques. Par exemple ce qu’on pourrait publier sur un site internet ou toute information qui peut être connue de tous ;

– les données internes, propres à une entreprise, comme les info