Impossible de tracer une frontière autour de chaque information, ni de mettre un gendarme derrière chaque collaborateur. Pourtant, il faut parvenir à sécuriser son système d’information. Des mesures s’imposent, toutes affaires cessantes.
C’est un chiffre qui donne à réfléchir. Aux Etats-Unis, 90 % des entreprises reconnaissent avoir été confrontées à une perte ou à une fuite d’information au cours des douze derniers mois. Selon une enquête réalisée par le Ponemon Institute auprès de 622 entreprises spécialisées dans les technologies de l’information, ces incidents s’expliquent par des défaillances en tous genres : pratiques documentaires à risques, solutions de stockage insuffisantes, partage d’informations sur les réseaux sociaux… Autre chiffre intéressant : 70 % des entreprises interrogées estiment que trop de salariés ou de partenaires peuvent accéder à des informations confidentielles qui ne leur sont pas indispensables. Et une même proportion affirme que l’usage de smartphones et de tablettes dans le cadre professionnel accroît les risques de perte d’information. Dans le même temps, 59 % des entreprises reconnaissent que la surveillance de leurs salariés est inefficace.
de l’hygiène informatique en entreprise
En France, il est probable que les entreprises sont touchées par les mêmes maux, mais il est plus difficile de savoir si elles le sont dans les mêmes proportions. Toujours est-il que l’Agence nationale de la sécurité des systèmes d’information (Anssi) vient de publier une série de recommandations visant à développer rien de moins qu’une hygiène informatique dans les entreprises : "Protéger ses données et son réseau informatique est crucial pour la survie de l’entreprise et sa compétitivité. Si les erreurs humaines ou la malveillance d’un salarié peuvent être à l’origine d’un incident, les agressions externes sont de plus en plus fréquentes", souligne l’Anssi.
Les mesures d’hygiène préconisées par l’Anssi concernent l’ensemble de l’écosystème informationnel de l’entreprise. Ainsi, le système d’information doit-il faire l’objet d’un audit complet : architecture réseau, logiciels utilisés, liste des utilisateurs et des droits afférents, suivi des arrivées et des départs des salariés et des stagiaires.
Le choix des mots de passe doit obéir à une politique rigoureuse afin d’éviter ce qui est arrivé à la Banque de France : son mot de passe a été facilement découvert par un internaute. Il s’agissait de 1 2 3 4 5 6 ! L’Agence nationale de la sécurité des systèmes d’information conseille d’ailleurs aux entreprises de ne pas stocker leurs mots de passe sur des systèmes informatiques.
classification et traçabilité des informations
La maîtrise des risques liés au patrimoine informationnel ne saurait être réduite à l’infrastructure informatique. Elle passe également par une série d’actions préventives de gestion organisationnelle et humaine des failles : classification et traçabilité des informations, sensibilisation du personnel, etc. En aval, des audits et des formations peuvent être envisagés pour améliorer les performances de chacun.
Selon le Cigref (Club informatique des grandes entreprises françaises), "il est souhaitable de compléter une bonne politique de sécurité par des règles déontologiques spécifiques au système d’information". Pour éviter tout malentendu, ces règles ne doivent pas être perçues par les collaborateurs comme coercitives ou intrusives. Il s’agit de les présenter comme des opérations utiles à la production de connaissances.
Dans une étude parue en 2011, le Cigref a identifié pas moins de 31 risques qu’il a classé en 8 grandes familles : ressources humaines, dématérialisation des rapports humains, risques stratégiques, systèmes d’information, risques éthiques et juridiques, patrimoine numérique, marketing, risques périphériques.
Le chapitre des risques éthiques et juridiques doit bien être pris en considération par les entreprises. Il brasse en effet une série de questions extrêmement complexes telles que le respect de la vie privée, la confidentialité des données ou le contexte d’application des décisions de justice.
Pour faire face à ces multiples enjeux, certains spécialistes de l’entreprise numérique conseillent à leurs clients de procéder à une cartographie des risques. Couramment utilisée dans le domaine de la cartographie des risques, cette méthode offre une vision synthétique des défis qui attendent les entreprises.
