04Avr, 2015

Protéger ses informations sensibles, oui mais comment ?

Dans une précédente publication, j’avais évoqué la classification des informations comme un préalable indispensable à leur protection, au travers d’une approche pragmatique.

Après avoir identifié les informations qui sont considérées comme sensibles pour sa propre entité (entreprise, association, collectivité ou autre), il est maintenant nécessaire de poursuivre la démarche en analysant les moyens d’une protection efficace.

Par informations sensibles, il me faut ici préciser que ce terme englobe dans mes propos autant certaines données brutes, que des informations mises en perspective ou des savoir-faire.

Une analyse approfondie de l’existant à trois niveaux

Complément de l’approche précédemment exposée, cette analyse permet de limiter le coût des moyens à déployer.

> L’aspect matériel vise à bien identifier pour chaque type d’informations

  • Les zones et outils de partage
  • Les zones et outils de stockage

étant précisé que certaines zones et outils de stockage peuvent également être des zones et outils de partage. Tel est par exemple le cas d’un réseau intranet.

> L’aspect humain vise à identifier les acteurs en liaison avec les informations

  • Le détenteur
  • L’émetteur
  • Le récepteur
  • L’utilisateur

étant précisé que certaines personnes peuvent appartenir à plusieurs catégories pour une même série d’informations. Tel est par exemple le cas d’un chef comptable qui détient des données financières, les utilise dans des synthèses, et les diffuse au dirigeant de l’entreprise.

> La durée de vie d’une information doit aussi être prise en compte pour éviter qu’une information nécessitant une action rapide soit autant protégée qu’une autre assurant un avantage concurrentiel sur le moyen terme. Tel est le cas par exemple du taux de retour d’un produit en phase de lancement.

Une adaptation des moyens de protection

Tant pour des raisons de coût que de temps ou de moyens humains, cette adaptation passe bien souvent, surtout les TPE et PME, par une gestion des droits

  • d’accès physique : protection périmétrique, badgeage, etc.
  • d’accès électronique : identifiant et mot de passe, cryptage, etc.
  • de reproduction ou de diffusion : copyright, limitation du téléchargement, etc.
  • de modification : lecture seule, cryptage, etc.

Toute la difficulté réside dans l’équilibre entre la complexité et le niveau de protection des moyens mis en oeuvre, et leur facilité d’utilisation.

Cette gestion des droits s’appuiera sur une notion connue, mais trop souvent mal appliquée : « le besoin d’en connaître« .

Dans un envoi par mail, réserver la mise en copie aux destinataires réellement concernés par une action concrète (modification, diffusion, etc.) sur les informations transmises est sans aucun doute un moyen de protection efficace et peu coûteux.

Trop de protection peut nuire

Mettre des contraintes trop lourdes ou des procédures trop complexes entraîne aussi bien souvent une non-application ou un contournement de procédure.

Imposer une personnalisation et des modifications trop fréquentes de mots de passe robustes peut conduire à des dérives du type « post-it » dans le tiroir du bureau ou utilisation d’un mot de passe unique pour tous les accès.

Rendre opérationnelle cette démarche n’est sans doute pas aisé pour des PME qui ne disposent pas en interne des compétences suffisantes. Cependant, elles peuvent s’appuyer sur les compétences de leurs partenaires habituels (informaticiens, experts comptables, juristes, etc.), mais aussi sur leur bon sens.

Poster un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *