Langue

  • Français

Vol de données: comment protéger vos actifs les plus précieux

Vol de données: comment protéger vos actifs les plus précieux

Imaginez que, du jour au lendemain, on vous vole toutes les données liées à vos clients, partenaires, employés, fichiers confidentiels ou même comptables de votre entreprise. Une telle situation peut bouleverser considérablement le fonctionnement d’une entreprise. Selon l’étude TELUS-Rotman sur la sécurité des TI, la divulgation ou la perte de données confidentielles ou stratégiques constitue la première inquiétude des PME.

Pourtant, seulement 15 % des entreprises ont établi des procédures rigoureuses pour surveiller les menaces ou agir en cas d’attaque informatique. Toute l’intelligence d’affaires que vous avez accumulée mérite d’être protégée, surtout si vous croyez que votre entreprise est trop petite pour être victime d’une brèche!

Voici donc trois bonnes pratiques à suivre pour vous aider à sécuriser vos données :

1. Classez vos données par ordre d’importance

Vos données sont conservées sous différentes formes. Elles peuvent être aussi bien virtuelles (c’est-à-dire l’information sur support informatique ou infonuagique) que physiques (c’est-à-dire sur papier). Vous pouvez, par exemple, les classer sous les quatre catégories suivantes :

Les données stratégiques

Dans cette catégorie, on retrouve la comptabilité de votre entreprise, les secrets industriels, la planification stratégique de votre entreprise et vos contrats importants. Du point de vue des affaires, ce sont les données les plus importantes de votre entreprise. Par conséquent, elles méritent le plus d’investissements pour les sécuriser adéquatement. Les accès non autorisés ou la divulgation de données pourraient entraîner des conséquences désastreuses voire la fermeture de votre entreprise.

Les renseignements personnels

Nous retrouvons ici tous les renseignements personnels (NAS, salaires, permis de conduire, dossiers médicaux, etc.) relatifs à vos employés, clients et partenaires. On peut aussi inclure dans cette catégorie les codes d’accès et les mots de passe nécessaires aux employés et aux clients pour se connecter à vos systèmes informatiques. Bref, toute information qui est reliée à un individu. De sérieux efforts de sécurisation sont requis pour protéger ce type de renseignements contre les accès non autorisés, les vols et les fuites. Un coulage d’information sur Internet par exemple (dû à une fuite ou à une erreur) pourrait entraîner des conséquences dramatiques (poursuite, recours collectif, perte de confiance de la clientèle, chute du chiffre d’affaires, etc.).

Les documents internes

Cette catégorie regroupe le reste des documents que les employés possèdent et s’échangent à l’interne, mais qui ne se classe pas dans les deux catégories précédentes. Bien que le volume de ses données soit immense, leur sécurité ne représente pas un élément de survie pour l’entreprise en cas de vol, fuite ou divulgation non autorisée.

Les documents publics

Cette information est celle que l’entreprise a rendue publique comme le contenu de votre site web. Considérant que ces données sont ouvertes, elles nécessitent peu de précautions. Il est de bonne pratique de ne pas investir inutilement des efforts et de l’argent pour surprotéger ce type de données.

En faisant cet exercice avec les données de votre entreprise, vous pourrez mieux cibler les actifs qui requièrent davantage de sécurité. Le principe est simple : plus vos données sont précieuses pour votre entreprise, plus vous devriez investir temps et argent pour y appliquer des contrôles de sécurité.

2. Évaluez les risques qui guettent vos données

Durant cette étape, on passe en revue deux éléments importants concernant les données : l’exposition aux risques que présente l’Internet et les accès aux serveurs et données.

Dans le premier cas, on évalue si le système informatique contenant les données est exposé à Internet. Ce risque est considéré comme le plus important, car des centaines de millions voire des milliards d’autres systèmes informatiques sont raccordés sur Internet. Certaines personnes malveillantes pourraient profiter des brèches dans vos systèmes informatiques pour y accéder puis en voler les données. Des millions de virus, vers informatiques et autres logiciels malveillants circulant sur Internet tenteront d’infecter vos systèmes informatiques s’ils sont exposés directement à Internet. Dans un tel cas, il est recommandé d’investir plus d’efforts et d’argent pour sécuriser ces systèmes adéquatement.

À l’inverse si les systèmes informatiques contenant vos données sont exposés uniquement à votre réseau interne d’entreprise et que ce réseau est protégé contre l’Internet au moyen d’un coupe-feu, les risques diminuent grandement. Il est également important d’évaluer la sécurité d’accès physique et logique du système informatique contenant vos données. Plus les accès physiques aux systèmes informatiques sont contraignants, plus les données qui y sont hébergées sont en sécurité. Pareillement, plus la sécurité d’accès logiques (c’est-à-dire les privilèges, permissions et droits d’accès) accordés aux utilisateurs est rigoureuse, plus les données présentent sur les serveurs sont sécurisés.

 3. Appliquez certains contrôles pour diminuer les risques

Vous êtes maintenant en mesure de nommer les actifs les plus importants à protéger. Vous connaissez aussi les situations particulières auxquelles vous exposez vos serveurs et données. À ce stade, il est possible d’appliquer une combinaison de contrôles pour diminuer les risques de brèches. Ces contrôles sont simples et accessibles aux PME.

Selon le rapport TELUS-Rotman, les virus, vers informatiques et logiciels malveillants constituent la plus grande menace. En tenant à jour l’ensemble de vos logiciels sur vos postes de travail et serveurs, comme les antivirus, vous réduisez le risque de brèche. L’installation de correctifs de sécurité offerts par les manufacturiers de systèmes d’exploitation et logiciels sur vos postes et serveurs est également un contrôle très efficace pour lutter contre les brèches. De plus, l’identification d’un employé responsable de la sécurité dans votre entreprise est une bonne pratique. Cet employé sera la personne chargée de réaliser des actions préventives en sécurité et aussi de réagir en cas d’incident de sécurité.

Le vol d’information, l’accès non autorisé aux données et les fuites d’information menacent chaque entreprise. L’atteinte du risque zéro ou la recherche de l’invulnérabilité n’existe pas en sécurité des TI. Cependant, elle peut diminuer considérablement les risques et prévenir les attaques informatiques afin d’assurer une pérennité des affaires de l’entreprise.

Comments are closed.