Go to Hackademy website

Sécurité des données : 5 conseils à suivre pour votre entreprise

Martin Catty

Posté par dans les catégories sécuritéentreprisestratégie

Cet article est publié sous licence CC BY-NC-SA

Il est souvent difficile de saisir l’importance de la sécurité des données en entreprise, et ce, pour deux raisons :

  • La sécurité est un concept intangible. Que vos interlocuteurs soient internes, ou externes à votre entreprise, ils n’en retirent aucun bénéfice immédiat.

  • La sécurité est un sujet sans limite. La sécurité absolue n’existe pas.
Dès lors il est tentant de se décourager, et de ne mettre en place aucune solution.

Pourtant, si la sécurité des données est un enjeu majeur, c'est avant tout parce qu'elle implique tout le monde : aussi bien vos utilisateurs que vos employés.

À l'image d'une assurance, on s'assure avant tout pour protéger les autres en cas d'incident.

>> Téléchargez notre checklist pour auditer la sécurité de votre système  d'informations <<

Ce contrat de «sécurité», vous l'avez avec toutes les personnes qui utilisent ou développent vos services.

Si par le passé ce contrat était avant tout implicite, il devient de plus en plus explicite, réglementaire et contraignant.

Votre premier objectif sera donc de définir ce que vous souhaitez atteindre en terme de sécurité des données, afin de mettre en place toutes les actions pour y parvenir.

Dans cet article, nous vous présentons 5 conseils à suivre et à connaître pour assurer la sécurité de vos données dans votre entreprise.

1/ Identifier les risques

securite-des-donness-en-entreprise
Pour déterminer l'effort à produire en terme de sécurisation des données, il est nécessaire d'avoir une vision éclairée de la situation actuelle.

Prenez le temps de vous poser ces questions :

  • Que se passerait-il si les données personnelles de vos clients venaient à fuiter sur Internet ?
  • Si vos secrets industriels se retrouvaient diffusés en dehors de l'entreprise ?
  • Si le code d'une ou plusieurs de vos applications étaient exposé ?

Prenons l’exemple de Windows XP, dont le code a récemment fuité sur Internet.

Ce cas est un excellent exemple de problématique de sécurité des données. Cette fuite va permettre à de nombreuses personnes malveillantes d’analyser le code, et de rechercher des failles de sécurité, d’autant plus que Windows XP ne reçoit plus de mises à jour de sécurité depuis 2014. Les personnes utilisant actuellement Windows XP se retrouvent donc vulnérables.

De nos jours, il n'est plus envisageable de laisser votre système d'information figé dans le passé !

La sécurité évolue ! Par exemple, le web devient progressivement accessible uniquement au travers d'HTTPS, forçant ainsi le transit des informations sous forme chiffrée.

Vous devez vous adapter, et prendre les précautions et mesures nécessaires pour assurer la sécurité de vos données.

2/ Maîtriser votre communication

En matière de sécurité vous devez toujours garder en tête la loi de Murphy :

Tout ce qui est susceptible d'aller mal, ira mal.

L’un des enjeux fondamentaux de la sécurité des données, est de savoir ce que vous feriez si un problème arrivait.

Si ce n’est pas déjà fait, vous devez établir un plan de gestion des risques, qui vous permettra de savoir, étape par étape, les actions que vous devez suivre en cas de problème.

L’une de ces étapes, sera de communiquer aux personnes concernées le fait que leurs données aient fuitées.

Notre conseil :

Si vous devez faire face à une problématique de faille de sécurité, nous vous conseillons de ni improviser, ni de tenter de dissimuler les informations. Souvenez vous du tollé provoqué par l'affaire Cambridge Analytica !

Établissez au préalable un plan de gestion des risques, et suivez-le étape par étape.

3/ Rester en veille sur les obligations légales

Je le disais en introduction, le contexte réglementaire est de plus en plus contraignant, et cela n'ira pas en s'atténuant.

Certains sujets sont largement couverts, comme celui du RGPD par exemple, ce qui occasionne également des problématiques pour les entreprises qui ont parfois du mal à trouver la bonne information.

D'autres sujets reçoivent beaucoup moins de presse. C'est le cas par exemple de la récente invalidation du Privacy Shield qui a eu lieu en juillet 2020. Celle-ci interdit le transfert de données personnelles entre l'Europe et les Etats Unis.

Si votre application recueille des données personnelles en étant hébergée aux US, vous pouvez être concerné. Ce qui est assez probable si vous passez par un fournisseur de cloud type AWS ou GCP, et que vos infrastructures sont situées dans une zone des États-Unis. Vous pouvez même être concerné dans le cas plus simple où vous utilisez des systèmes types Facebook Connect pour authentifier vos utilisateurs.

Notre conseil :

Les obligations légales évoluent, c’est pourquoi, il est important pour votre entreprise de rester en veille permanente.

4/ Comprendre les enjeux financiers

Si les entreprises se retranchaient face au caractère non dissuasif des amendes de la CNIL, la situation a aujourd’hui bien changé.

Rien que pour le RGPD, le montant des sanctions peut s’élever jusqu’à 20 millions d’euros, ou dans le cas d’une entreprise internationale, jusqu’à 4 % du chiffre d’affaires annuel mondial.

Autant dire que prendre le temps d'auditer votre situation ne pèse pas lourd à côté des risques encourus.

5/ La sécurité des données : un argument qui résonne

securite-des-donnees-marketing

Les internautes sont de plus en plus sensibles et informés sur les problématiques de confidentialité des données et de vie privée.

Ce n'est pas un hasard si des marques aussi puissantes qu'Apple en ont fait un argument marketing de premier ordre.

En étant proactif sur le sujet de la sécurité des données, vous pouvez bénéficier d’une communication positive auprès de vos clients et employés.

Vous l'avez compris les risques sont réels. Même si à l'impossible nul n'est tenu, vous devez être dans une démarche d'amélioration continue de votre politique de sécurité des données en suivant les étapes suivantes :

Analyser (audit, veille), mesurer (les risques), améliorer, répéter.

Nouveau call-to-action

Articles connexes

7 règles d’or pour assurer la sécurité des systèmes d’information

17/11/2020

Et voilà, je vous parle de sécurité des systèmes d’information et vous vous retrouvez avec ce schéma en tête... : 

4 types d’audit informatique dont votre entreprise pourrait avoir besoin

03/11/2020

Il est assez courant de procéder à un audit informatique dans les entreprises. Celui-ci peut en effet s’avérer primordial dans certaines situations telles que :  Quand une équipe reprend les rênes...

Développement d'application web : 5 conseils pour éviter les dérives de planning et de budget

20/05/2020

On le sait, un projet de développement web n'est pas infaillible, et les écueils rencontrés portent régulièrement sur le planning et le budget. Un calendrier de mise en production qui dérive, un...

Comment nous avons accompagné l'association PACTP dans les spécifications de leur projet

14/05/2020

L'association PACTP, qui a en responsabilité la Protection, l'Aménagement et la Conservation des Théâtres Privés, a contacté l'équipe Synbioz afin d'élaborer une solution applicative.