![[Sécuriser les données], une priorité stratégique pour les entreprises](https://incyber.org//wp-content/uploads/2024/05/incyber-news-cybersecurite-cybersecurity-data-traitement-donnees-1-2024-2160x735.jpg)
Sécuriser les données, une priorité stratégique pour les entreprises
La mésaventure pourrait faire sourire si elle n’était lourde de menaces. Lundi 15 avril, la marque de sous-vêtements Le Slip Français a révélé avoir fait l’objet d’une cyberattaque d’ampleur : des hackers seraient parvenus à s’emparer des données personnelles d’1,5 million de clients, comprenant notamment leurs noms, numéros de téléphone ou adresses électroniques. Ciblant une entreprise tricolore, cette nouvelle fuite de données vient mettre en exergue l’avertissement de l’Agence nationale de la sécurité informatique (ANSSI), selon laquelle « le niveau de la menace (cyber) continue d’augmenter ».
Sécuriser les données, une priorité stratégique pour les entreprises
Et ce pour une raison simple : la digitalisation des entreprises progresse, et la valeur de leurs données de gestion aussi. À chaque étape majeure de la transformation numérique, les data sont donc plus nombreuses, de meilleure qualité, plus rapidement diffusées et partagées entre un plus grand nombre de personnes. Autrement dit, tout concourt à ce que les données renforcent l’agilité des organisations et améliorent la prise de décision. Une bonne nouvelle pour les entreprises, mais aussi pour les pirates en tous genres.
C’est la raison pour laquelle ces précieuses données doivent être protégées. Car des données perdues ou volées, c’est un pan entier du système d’information qui devient inopérant. Sans parler des dégâts en termes de réputation : vos clients vous font confiance pour la sécurité de leurs données ; si ces dernières vous échappent, c’est tout le contrat de confiance vous liant à eux qui vacille. Une équation qui s’applique singulièrement aux domaines sensibles que sont la finance, la technologie, la santé ou encore la défense. Enfin, des fuites de données ne sont pas sans exposer l’entreprise, qui n’aurait pas su mettre en place des protocoles et routines efficaces de protection (RGPD), à d’épineuses conséquences juridiques.
La protection de plusieurs niveaux de sécurité
Concrètement, l’intégrité des données de gestion est menacée dès lors que le risque n’est pas évalué ni conjuré de manière systémique. Il peut s’agir d’erreurs dans la configuration des équipements, de mauvaises pratiques dans la gestion des accès, d’expositions mal sécurisées sur Internet ou encore d’indiscrétions sur les réseaux sociaux. C’est pourquoi la gouvernance des données représente un premier niveau de protection incontournable. Cette gouvernance se traduit, notamment, par une culture collective de vigilance, par une politique de centralisation des données et par la rigueur d’un pilotage global.
Intrinsèquement lié au premier, le second niveau de protection repose sur la formation et l’entraînement des collaborateurs. Bien souvent, ce sont la mauvaise appréciation des enjeux et la méconnaissance des règles qui ouvrent la porte aux cyber-agresseurs. Le troisième niveau de protection tient, quant à lui, à la qualité des composants techniques du système d’information : logiciels, réseaux, serveurs, plateformes d’hébergement, etc. Le système d’information doit donc bénéficier, a minima, de la protection d’une ceinture d’antivirus et d’une ceinture de pare-feu, protégeant respectivement contre les intrusions malveillantes et les programmes douteux.
Enfin, un quatrième et dernier niveau de protection peut être offert par le cryptage des données, surtout les plus sensibles. Sous réserve du sérieux de son hébergeur, un stockage dans le cloud renforce donc le niveau de sécurité. Ne pas oublier, à ce titre, de vérifier que son prestataire peut se prévaloir des certifications les plus exigeantes en la matière. Pour les données, il s’agit principalement des normes ISO 27001, ISO 9001 et ISAE 3402 en type II.
Des logiciels protecteurs, ultimes remparts pour la sécurité des données
Nous parlons donc d’un dispositif global de protection, au sein duquel la sécurité inhérente aux logiciels de gestion est, évidemment, centrale. La responsabilité en revient, ici, aux éditeurs, qui doivent sécuriser le développement de leurs applications. Au-delà des traditionnelles « revues de code », certains de ces éditeurs prennent, de plus, la peine de confronter leurs pratiques de management de la sécurité au regard d’auditeurs tiers. Une transparence et un niveau de protection supplémentaires, dont atteste la norme ISO 27001. Chaque accès à la donnée étant tracé, c’est aussi la garantie que les données personnelles bénéficient de la plus stricte confidentialité.
Les éditeurs de logiciels de gestion sont donc tenus de prendre la sécurité des données très au sérieux. Chez Sage, par exemple, « toutes les données sont chiffrées. Celles en transit et celles en repos », précise Jean-Roch Devilly, responsable d’exploitation SaaS et services managés chez l’éditeur français. Qui s’applique aussi à effectuer « régulièrement des tests de (son) plan de reprise d’activité, un élément structurant dans le cadre de (sa) politique de sécurité ». « Nous avons des sauvegardes, poursuit Jean-Roch Devilly, disponibles (et) quotidiennes ». Résultat : en trois ans, Sage n’a rencontré aucun problème de disponibilité. À l’heure de la facture électronique et du choix de leur future PDP, les entreprises doivent faire de la protection des données un enjeu central de leur stratégie.