L’inconscience face aux informations critiques de l’entreprise

Le 10 avril 2012 dans Risques


 
 
Les Présidents, les Directeurs financiers, les Directeurs des Systèmes d’Information de 600 entreprises de tailles moyennes (entre 250 et 2500 employés), de 6 pays européens dont la France, ont été interviewés par PwC et Iron Mountain1.

L’étude a porté sur les secteurs de la finance, de l’assurance, du juridique, de l’industrie, de l’ingénierie et de la pharmacie.

 

Nous vous proposons d’aborder les principaux enseignements de cette étude et quelques solutions à mettre en oeuvre.

Les principaux enseignements de cette étude

> 60% des entreprises ne savent pas si leurs employés disposent des outils nécessaires pour se protéger contre les risques de perte d’information.

> 59% des entreprises qui ont connu une perte de données on investit par la suite dans des technologies de protection.

> Seulement 1% des entreprises considèrent que le risque de perte d’information est de la responsabilité de l’ensemble du personnel.

> Seulement 13% voient cela comme une question importante et en attribuent la responsabilité au niveau du Conseil d’Administration.

> 35% continuent de voir ces risques comme une responsabilité technologique et les ont placé dans les mains de la Direction des Systèmes d’Information (DSI).

> Seulement 36% des PME ont mis en place une équipe ou une personne en charge des questions relatives au risque de perte de l’information.

> 26% des entreprises interrogées ne vérifient pas les informations données par les personnes qu’elles emploient.

Les solutions à mettre en oeuvre

Ce sujet fut également traité lors de la célèbre conférence de sécurité, RSA 2012, qui s’est tenue très récemment à San Francisco.

Nous avons établi, ci-dessous, une synthèse de solutions à mettre en œuvre afin de mieux protéger les informations au sein de votre organisation :

1)     Concentrez-vous sur la protection des informations critiques de votre entreprise

Quelles sont les  informations critiques de votre entreprise ?

> Vos orientations stratégiques, vos actions d’influence, vos études de concurrence, vos fichiers clients et prospects, votre liste de fournisseurs, vos contrats, vos  données comptables, votre paie, vos dossiers du personnel, votre organigramme détaillé de votre entreprise, vos brevets, vos plans, vos procédés de fabrication, vos codes sources, vos résultats de votre veille concurrentielle, … La liste est-elle complète ? En êtes-vous sûr ?

Sur quels supports ces informations sont portées ?

> Des ordinateurs fixes et portables accessibles sur internet et sur la messagerie électronique, un ou des logiciels, une ou des clefs USB, des téléphones fixes et portables, des télécopieurs, des photocopieurs, des armoires et des locaux d’archivage, …

Quelles sont les menaces qui pèsent sur votre organisation si ces dernières sont dévoilées, puis utilisées par vos clients, vos concurrents, l’ensemble de vos collaborateurs, les organisations syndicales, voire les autorités publiques ?

Nous préconisons une démarche en 4 étapes pour prévenir et pour faire face aux incidents (divulgation intentionnelle ou accidentelle d’une information critique).

Etape 1 : Identifier les informations essentielles de votre entreprise.

Identifier les informations critiques, évaluer les priorités et apprécier les menaces qui pourraient conduire à leur divulgation et leur utilisation contre votre entreprise.

Étape 2: Définir les stratégies

Identifier les stratégies de prévention et de riposte en cas de divulgation.

Étape 3: Déterminer et mettre en oeuvre les solutions

Mettre en œuvre les mesures de prévention et formaliser les procédures de riposte.

Étape 4: Établir une culture de protection des informations critiques

S’assurer qu’une culture est intégrée dans l’organisation en élevant la prise de conscience dans l’organisation et en offrant une formation au personnel clef sur la protection des informations critiques de l’entreprise.

Étape 5: Entretenir et auditer la protection et la gestion des incidents

S’assurer que les mesures de protection et les procédures pour faire face à la gestion d’un incident fonctionnent au travers d’exercices et sont maintenues à jour dans une démarche « Qualité ».

L’ensemble du dispositif est également piloté pour veiller à la mise en œuvre et au suivi des différentes étapes.

 

2)     Sachez mieux utiliser les technologies

Plusieurs solutions ont fait leurs preuves dans les organisations. Nous pouvons ainsi citer quelques solutions préconisées et mises en œuvre :

> Veiller à la bonne utilisation et au bon paramétrage de l’outil de cryptographie et de signature des documents mis en place dans votre entreprise.

> Porter une attention particulière à tous les accès aux informations critiques pendant et en dehors des heures ouvrables (Qui est connectée ? Quelle(s) informations ont été consultées ou téléchargées ?).

> Supprimer systématiquement l’accès à la messagerie de l’entreprise après un certain délai (Procédure et délai figurant dans la charte d’utilisation de la messagerie signée par l’utilisateur lors de son embauche).

> Surveiller le système de détection d’intrusion (ou IDS : Intrusion Detection System) destiné à repérer les activités anormales ou suspectes sur votre réseau informatique ou un serveur de données informatiques. Il permet ainsi d’avoir une connaissance sur les tentatives d’intrusions réussies et celles échouées.

> Si vous êtes toujours adepte du papier, veiller à ce que les informations les plus critiques soient imprimées sur une imprimante avec accès déclaré pour lancer l’impression. Ce support doit être manipulé avec précaution pour éviter qu’il soit oublié dans une salle de réunion. Il doit être stocké dans un coffre ou tout simplement détruit par une déchiqueteuse après utilisation.

 

3)     Atténuez les menaces provenant de partenaires ou prestataires

Le 14 mars dernier,  L’express publiait un article sur « Un sous-traitant informatique soupçonné d’avoir commis un important vol de données confidentielles dans un centre dépendant du Commissariat à l’Energie Atomique (CEA) a été placé en garde à vue, le 22 février, au siège de la Direction Centrale du Renseignement Intérieur (DCRI), à Levallois. »

D’autres cas ne font malheureusement pas la une des médias et vous concerneront en premier lieu.

Pour y remédier, nous préconisons les solutions suivantes :

> Spécifier les contrôles de sécurité de l’information dans les contrats.

> Etablir un document à remettre à chaque intervenant dans votre société afin de spécifier les règles de sécurité et les sanctions auxquelles il s’expose.

> Demander à vos partenaires et vos prestataires qu’ils vous communiquent leur politique de l’entreprise et les mesures qu’ils ont mis en œuvre au niveau de l’entreprise comme au niveau de leurs collaborateurs.

> Sensibiliser vos acteurs sur le danger de la communication des informations critiques de l’entreprise à vos partenaires et prestataires.

 

4)     Considérez les comportements comme des indicateurs à surveiller

La menace est interne, ne l’oublions pas. Elle peut se traduire dans ce cas comme un sabotage volontaire ou un vol de propriété intellectuelle afin de servir de « monnaie d’échange » ou faire l’objet d’une rémunération.

La plupart des organisations mettent en place :

> Des formations spécifiques pour apprendre à détecter ces comportements (De nombreux experts « des renseignements » proposent leurs services sur ces sujets).

> Des solutions dédiées à réduire la cybercriminalité interne.

> Un programme de réduction des risques psychosociaux.

 
5)     Sensibilisez vos collaborateurs sur les risques qu’ils encourent

Selon vous, quels sont les systèmes ou les informations qu’une personne au sein de votre organisation  pourrait voler ou modifier et qui pourrait représenter un réel préjudice ?

> Des données financières, des données personnelles ou des dossiers d’études.

Sur la même logique, la plupart des organisations mettent en place les solutions abordées dans le chapitre précédent, en parallèle de clauses contractuelles spécifiques mentionnées dans le contrat de travail.

Il est également recommandé de ne pas tomber dans l’excès de la surveillance systématique.

La presse se fait suffisamment échos de ces pratiques ces temps-ci : « La société X ou M. X dirigeant de la société X  a cautionné et supervisé l’espionnage d’un salarié ».

 

6)     Apprenez à travailler en interne et avec des experts

La protection des informations critiques ne peut se résoudre seul. Il faut y associer régulièrement les acteurs internes :

> Direction générale.

> Responsable des ressources humaines.

> Responsable sécurité si ce dernier existe.

> Responsable de votre système d’information.

> Responsable juridique ou avocat de l’entreprise.

L’apport d’expertises extérieures peut se révéler utile pour :

> Capitaliser sur les bonnes pratiques.

> Déterminer et accompagner la mise en œuvre de solutions au sein de votre organisation.

> Sensibiliser les acteurs aux enjeux et risques.

 

7)     Apprenez des incidents passés et mettez en place un projet interne

La plupart des entreprises sont confrontées à de multiples cas de pertes ou de vols  d’information.

Cette capacité à capitaliser sur votre vécu ou celui des entreprises avec lesquelles vous êtes en relation vous permettra d’être plus efficace pour prévenir ou gérer un prochain incident.

 

Il est temps de prendre les bonnes mesures. Voici le programme que nous vous préconisons dans les mois à venir :

Dans les 3 mois qui suivent la lecture de cet article, vous devriez …

> Etudier les incidents passés de votre entreprise et leurs impacts qualitatifs et quantitatifs.

> Définir votre plan d’actions avec de nouvelles mesures et l’organisation associé.

> Obtenir l’accord de votre direction générale (en veillant à disposer d’un sponsor au sein de cette direction en charge de suivre avec vous la démarche).

> Etablir ou revoir votre politique de sécurité en y impliquant les acteurs internes (RH, Sécurité, DSI, Avocat ou Juriste d’entreprise).

> Définir les nouvelles procédures et les modalités de contrôles.

 

Dans les 6 mois, vous devriez …

> Communiquer, mettre en œuvre et appliquer systématiquement la politique.

> Communiquer régulièrement au sein de votre organisation, via des actions de sensibilisations (formations, supports, …).

N’hésitez pas à réagir en adressant vos messages à : gestion-crise@emoveo.fr.

 

1 Un résumé de l’étude « Au-delà des menaces cybernétiques : une étude sur la culture d’entreprise, la responsabilité des salariés et la sûreté des informations » est disponible à sur le site internet www.ironmountain.co.uk/risk-management.

Jean-Marc Sepio : emoveo

Par Jean-Marc Sépio

Articles suggérés

RGPD / GDPR : Se préparer avant fin 2017

Avec le Règlement Général sur la Protection des Données/General Data Protection Regulation (RGPD ou GDPR),…

Lire la suite de l'article

Data Breach, the Achilles’ heel of CEOs

Not a week goes by without sophisticated attack targeting businesses: ransomware or theft of personal…

Lire la suite de l'article

Les métiers d’emoveo

s’engager pour le succès de nos clients

Les missions que nous entreprenons sont marquées par la coopération : nous travaillons de concert avec nos clients, pour garantir le sur-mesure, le pragmatisme et le transfert de compétence.

Découvrir les métiers d’emoveo