Dans une étude autour de la maîtrise et de la protection de l’information, le Clusif expose ses recommandations pour une meilleure sécurité des données en entreprise. Les solutions sont avant tout organisationnelles.
La sécurité des données doit par conséquent s’intégrer aux processus d’intelligence économique mis en place dans l’entreprise. Pour le Clusif, il s’agira à la fois de prévenir les diffusions d’informations vouées à la confidentialité, de se montrer attentif et réactif face aux manipulations d’informations, et enfin de veiller à ne pas faciliter la captation illégale de ses données.
Pratiques déloyales des concurrents, désinformation, données erronées, absence de solutions de cryptage, faillibilité humaine ou méconnaissance du cycle de vie des informations sont autant de menaces pour les entreprises. Néanmoins, ces risques peuvent être significativement réduit grâce à la sensibilisation et à l’adoption de bonnes pratiques.
Le Clusif s’appuie des cas réels. A l’exemple de cette PME française spécialisée dans les pièces détachées répondant à un appel d’offre en Chine, et qui malgré la solidité de son offre voit le client lui préférer un concurrent.
Les raisons de cet échec ne tiennent en effet pas à des coïncidences, mais à une veille trop restreinte de l’entreprise hexagonale et à une absence totale de protection des données parmi ses dirigeants. En limitant leurs recherches d’information, ces derniers n’ont pas eu connaissance des démêlés judiciaires de l’un de leurs rivaux et notamment ses pratiques troubles.
Ces dirigeants qui avaient laissé sur des ordinateurs sans protection les détails de leur propositions
Ensuite, se déplaçant en Chine pour les dernières étapes de l’appel d’offre, les dirigeants ont laissé dans leurs chambres, sur des ordinateurs sans protection (mot de passe fort ou chiffrement des données), les détails de leur proposition. Sur un marché aux pratiques commerciales encore incertaines, le concurrent n’a pas hésité à se montrer peu scrupuleux et à dérober les informations à l’insu des entrepreneurs français.
La protection des données confidentielles doit tout naturellement être renforcée. Le coût engendré par cette sécurité accrue se justifie amplement après une simple estimation des conséquences financières consécutives à un vol ou une divulgation de ces informations.
Selon le Clusif, ces données confidentielles seront traitées uniquement sur des postes non connectés au réseau, éventuellement équipés de détecteurs d’intrusion et dont les connecteurs USB auront été désactivés. L’application d’une politique de mots de passe forts est également indispensable.
Protéger ses informations exige d’appliquer des mesures de manière anticipée, de se placer dans une démarche proactive et non essentiellement réactive. Pour assurer la protection des données, il convient tout d’abord de connaitre les menaces pesant sur les différentes étapes du cycle de vie de l’information.
Il s’agit également de sensibiliser les personnes amenées à manipuler ces informations
Les vulnérabilités identifiées, reste encore à définir pour chacune des niveaux de risques acceptables, à mettre en place des solutions proportionnées et à formaliser des règles de classification de l’information (confidentielle, publique, limitée aux dirigeants, etc.). Il s’agit également selon le Clusif, de sensibiliser les personnes (personnel ou partenaires) amenées à manipuler ces informations pour qu’elles soient un maillon de la sécurité et non une faille.
Toutefois, les rédacteurs de l’étude rappellent également, et justement, que la protection absolue n’existe pas. Au mieux peut-on prévoir les risques et minimiser les conséquences. De plus, si la sécurité implique le recours à des technologies, il faut garder à l’esprit que les solutions sont aussi, et principalement, d’ordre organisationnel et fonctionnel.
Ce principe s’applique de manière analogue à la sécurité du système d’information, les dispositifs techniques intervenant ici comme compléments. Ces mesures techniques seront notamment la réalisation d’un inventaire du parc (matériel et logiciel), la formalisation d’une procédure d’habilitation des utilisateurs, une passerelle unique vers Internet munie d’un pare-feu et d’une sonde détectant et bloquant le trafic suspect.
Le Clusif recommande également d’installer des logiciels de sécurité (antivirus, antispyware, antispam et anti-troyens) sur les postes et les serveurs connectés au réseau, d’appliquer régulièrement les correctifs de sécurité ou encore de recourir aux services d’un prestataire externe pour conduire un audit du système d’information. La protection des sauvegardes ne devra pas non plus être négligée.
L’intelligence économique implique aussi de collecter des informations sur son environnement, qu’il s’agisse du marché, des clients, ou de ses concurrents. Toutefois, cette collecte devra s’opérer de manière éthique et surtout légale sous peine de s’exposer à des poursuites.
Auteur : Christophe AUFFRAY,
Source : JDN Solutions – Le 4 septembre 2006