La protection des données est devenue un enjeu majeur pour les Consultants en Informatique, les Responsables de la Sécurité des Systèmes d’Information et les autres décideurs du domaine. Les données sont une mine d’or pour les entreprises, mais leur valeur est trop souvent sous-estimée. Si vous pensez encore que cette problématique ne vous concerne pas, alors les lignes ci-dessous pourraient bien vous faire changer d’avis !
Notre expert Laurent LINTY vous partage dans l’interview qui suit les risques liés aux données et la convoitise qu’elles suscitent ainsi que ses conseils pour les préserver et protéger son entreprise.
Quels sont les risques et atteintes aux données ?
Laurent LINTY : On peut classer les risques majeurs d’atteinte aux données en 3 grandes catégories :
- Les sinistres chroniques: d’origine humaine, il s’agit de toutes les attaques par ransomware, ou rançongiciel. On connait actuellement une explosion de ce type d’attaque dans les entreprises. En fonction de l’activité de l’entreprise ces risques peuvent être plus ou moins élevés. Une banque y sera plus confrontée qu’une entreprise de e-commerce par exemple.
- Les sinistres physiques: il s’agit des pannes informatiques, des pannes réseau, des pannes disques, etc. qui ont plutôt attrait au matériel parce qu’il vieillit, parce qu’il est fortement sollicité.
- Les sinistres environnementaux: il peut s’agir d’un incendie par exemple, mais aussi, en fonction de la région où est située l’entreprise, d’une catastrophe naturelle telle que des tremblements de terre, des tsunamis etc. Selon la localisation de l’entreprise, ces risques sont plus ou moins proéminents.
Pourquoi les données sont-elles tant convoitées ?
L.L. : La donnée a un rôle grandissant dans les entreprises. Elle est de plus en plus convoitée par des tiers :
- des hackers
- des gouvernements
- des entreprises qui souhaitent accéder à ces informations qui sont concurrentielles et qui permettent d’en savoir plus.
Comme je le dis dans mon livre « Protection des données de l’entreprise : Mise en oeuvre de la disponibilité et de la résilience des données » la donnée est un actif qui n’apparait jamais dans un bilan comptable. Et pourtant, la valeur de la donnée est importante et réelle. Les entreprises sont très dépendantes de leur système d’information, il en va de leur survie. Celles qui ne sont pas suffisamment informatisées ne survivent pas à la concurrence. Elles deviennent dépendantes de la donnée et une atteinte à la donnée peut être extrêmement préjudiciable. Cela coûte très cher aux entreprises de perdre ces données ou leur accès. Il est primordial de toujours y avoir accès. C’est pour cette raison que je parle de disponibilité et de résilience dans mon livre, résilience parce qu’il faut pouvoir récupérer, restaurer l’état d’un système ou d’une entreprise suite à un sinistre.
Quelles sont les clés pour préserver et protéger le patrimoine numérique de son entreprise ?
Prérequis
L.L. : La première chose est d’avoir conscience que la donnée a de la valeur. Tant que l’entreprise n’a pas conscience que ses données sont vitales pour elle, elle aura des difficultés à mettre en place les moyens et processus qui permettront de protéger ses actifs numériques.
Dans les grandes lignes, je dirais qu’il faut identifier les sinistres que l’entreprise est susceptible de subir. Toutes les entreprises risquent d’être confrontées à un sinistre à un moment ou un autre. Vous pouvez être certain qu’un sinistre peut arriver à tout moment.
Le plus important est donc d’avoir cette conscience que le sinistre arrivera de manière inévitable, la donnée sera alors forcément touchée à un moment ou un autre, quelle que soit l’envergure du sinistre.
Comment y répondre ?
L.L. : Une fois que vous aurez identifié les sinistres les plus dommageables pour l’entreprise, il faut les catégoriser par impact. Quel est l’impact du sinistre sur l’entreprise ? Quel est l’impact d’une perte de données ? Quel est l’impact d’une attaque par rançongiciel ? Ou tout simplement d’un incendie ?
Suite à cela, il y a un ensemble de processus à mettre en œuvre. Il s’agit de moyens techniques, mais aussi et surtout de moyens humains qu’il faut absolument considérer. Il existe beaucoup d’outils et de solutions de protection des données, mais avant tout, l’humain est au cœur du système d’information et doit être impliqué dans la protection des données informatiques.
Une fois le système mis en place, il faut s’approprier les solutions de protection de données, pour pouvoir tester les restaurations et réitérer les processus qui ne fonctionnent pas, de sorte que les équipes soient prêtes à intervenir le jour où un sinistre intervient. On constate très souvent un manque de préparation des équipes malgré l’implémentation des outils. On ne pense pas forcément au facteur stress que ressentent les équipes de devoir être réactives, soit parce qu’elles ne sont pas préparées, soit parce qu’elles n’ont jamais testé les procédures de restauration ou les plans de reprise de l’activité.
Quelles sont les autorités de régulation des données ? Et quelles sont les restrictions qu’elles imposent ?
L.L. : En France, c’est la CNIL qui est l’autorité de régulation des données. C’est elle qui va répondre de la bonne gestion et de la bonne gouvernance des données en cas de sinistre informatique, de problème, de violation, d’altération des données comme c’est décrit par le RGPD. Il existe par ailleurs des autorités de régulation des données un peu partout dans le monde.
Les restrictions imposées par ces organismes de régulation sont diverses. Celle sur laquelle j’insiste beaucoup dans mon livre est l’article 32 du RGPD, qui définit les bases sécuritaires à mettre en place et qui implique que les entreprises sécurisent leurs données. Ces restrictions ne sont pas les mêmes en fonction de la nature des données. Il faut distinguer les données à caractère personnel et les données « classiques », qui ne permettent pas d’identifier un individu. En fonction du type de données, les restrictions sont différentes et complexes pour les aborder en seulement quelques phrases.
D’autres organismes légaux impliquent des normes en fonction de l’activité de l’entreprise. Dans la santé, il existe des normes spécifiques impliquant la mise en place de processus et d’outils particuliers permettant de garantir la protection et la préservation des données sur le long terme conformément à ces exigences.
En conclusion
Vous l’aurez compris, protéger les données de son entreprise, ça commence par simplement prendre conscience de leur existence, de leur valeur et des risques encourus quant à leur perte, leur vol, ou aux dommages qu’elles pourraient subir. En effet, quel que soit votre domaine d’activité ou la taille de votre entreprise, vous serez forcément confronté un jour ou l’autre à un sinistre portant atteinte aux données de votre entreprise et à son activité.
Vous souhaitez aller plus loin ?
Alors découvrez la présentation du livre écrit par Laurent LINTY sur la protection des données !
Consultant dans le stockage des données depuis plus de 20 ans, Laurent LINTY dispose d’une solide expérience technique avec la réalisation de plus d’une centaine de projets de protection et de gestion des données en France et à l’international. Il intervient dans les entreprises, de toute taille et de tout secteur, afin de mettre à contribution son expérience et les bonnes pratiques visant à garantir la disponibilité et la résilience des données contre les différents sinistres. Avec ce livre, c’est toute son expertise qu’il met au service du lecteur pour le guider dans l’adoption d’une méthodologie lui permettant d’assurer la protection de ses données.
Pour aller plus loin
Le livre de Laurent LINTY
Protection des données de l’entreprise
Mise en œuvre de la disponibilité et de la résilience des données
Formation éligible au CPF
Protection des données de l’entreprise
RGPD – Apprendre à assurer le rôle de Délégué à la Protection des Données/DPO
