Chakir Moullan, Managing Director France de 8MAN nous livre ici les cinq principales étapes pour une réelle politique de sécurisation interne.
Les pertes de données sont désormais prises au sérieux par les entreprises. En 2015, une étude estimait leur coût à 30,9 milliards d’euros pour les seules sociétés françaises. La question de la sécurisation des données est bien souvent posée sur le plan de la protection vis à vis des intrusions et attaques extérieures. Pourtant une part importante des incidents de ce genre a pour origine une fuite interne. Alors que la loi impose désormais de rendre publique toute fuite de données personnelles, il convient de mettre en place une réelle politique de sécurisation interne dont voici les cinq principales étapes.
1) Identifier les données sensibles
Le premier prérequis d’une telle stratégie consiste en l’identification des données sensibles et des données publiques. C’est sur cette base qu’elles pourront être dirigées vers les collaborateurs en fonction de leurs besoins. Une cartographie complète des ressources de l’entreprise doit donc être dressée en tenant compte du degré de confidentialité de chaque information.
2) Déterminer les droits d’accès de chaque collaborateur
C’est l’étape-clé : à chaque projet et à chaque service correspond un ensemble de données auxquelles ne doivent avoir accès que les personnes effectivement impliquées. Il est nécessaire de limiter les droits d’accès aux besoins réels de chacun afin de compartimenter les informations. En cas d’incident, les conséquences seront ainsi moins importantes que si les accès sont donnés de façon non sélective.
3) Définir le rôle de chacun
La gestion des droits d’accès doit faire l’objet d’une réflexion : qui est administrateur ? De quels droits disposent les administrateurs ? Toute la stratégie de sécurisation peut se révéler inutile si des personnes ont indûment accès à toutes les données de l’entreprise grâce à leur statut d’administrateur. Un groupe d’édition français a ainsi découvert, après plusieurs mois, la présence d’un employé d’un de leurs prestataires dans le groupes d’administrateurs de leur réseau. Il est donc utile de mettre en place des contrôles sur l’activité de gestion des droits d’accès.
4) Mettre à jour régulièrement les droits d’accès
Afin de limiter les risques de fuite, il est particulièrement crucial de tenir à jour les droits d’accès en fonction de l’activité de l’entreprise. Pour être réalisée efficacement, cette opération ne doit pas être dévolue à la seule DSI de l’entreprise. Les divers métiers doivent s’impliquer dans cette tâche. Ce sont les services opérationnels qui ont la meilleure vision de la répartition des rôles et donc des informations, il faudra donc les rencontrer, lors de revues périodiques. Avoir la main sur la gestion de leurs données sensibles pourra également les rassurer et leur donner confiance dans les systèmes d’information de l’entreprise.
5) Imposer une traçabilité complète
Lorsqu’une fuite d’informations survient, il est nécessaire d’en identifier l’origine afin d’éviter qu’elle ne s’étende ou ne se reproduise. Pour cela, une seule solution : la traçabilité complète de toutes les opérations relatives à la gestion des droits d’accès. C’est à cette condition que les gestionnaires des droits pourront tirer les leçons de leurs erreurs et améliorer les processus de contrôle des droits.
Une cartographie complète des données de l’entreprise et des collaborateurs y ayant accès, des droits régulièrement mis à jour et des contrôles impliquant l’ensemble des métiers de l’entreprise sont ainsi les clés d’une sécurisation des données en interne. Autant de bonnes pratiques qu’il s’agit de généraliser, toutes les fuites d’information ne proviennent pas d’une faille informatique !