« La perte de données peut être fatale pour toute entreprise »

Dans un univers de plus en plus digital, il est important que chaque entreprise prenne conscience de la valeur des données dont elle dispose, afin de mieux les protéger et de s’assurer un avenir pérenne. Pour EY, il est important d'investir dans la sécurité pour préserver la valeur de l’entreprise.

EYDans un univers de plus en plus digital, il est important que chaque entreprise prenne conscience de la valeur des données dont elle dispose, afin de mieux les protéger et de s’assurer un avenir pérenne. Pour EY, il est important d’investir dans la sécurité pour préserver la valeur de l’entreprise.

By Sébastien Lambotte for ITnation Mag December 2015

« La perte de données peut être fatale pour toute entreprise. »

Pour toute entreprise, la donnée est devenue une valeur critique. Aussi doit elle être mieux protégée qu’elle ne l’est actuellement. Malheureusement, à ce jour, beaucoup trop d’entreprises n’ont pas suffisamment conscience de l’importance de la donnée, de sa valeur, de son caractère crucial pour la bonne marche et le développement du business. « La maturité des entreprises, eu égard aux données dont elles disposent, varient en fonction de leur taille mais aussi de la nature de leurs activités, commente François Barret, Information & Security Leader pour le secteur financier au sein d’EY Luxembourg. Des sociétés, de plus en plus nombreuses, sont à même de créer de la valeur en exploitant de manière optimale leurs données. Ces acteurs ont, le plus souvent, conscience de l’importance de l’information et de l’enjeu de la protection de ces données. Elles savent aussi, à contrario, que la perte de ces données peut être fatale pour toute entreprise. »

À l’avenir, au regard du règlement européen actuellement en discussion visant une meilleure protection des données personnelles, chaque entreprise devra mettre en œuvre des procédures à minima pour assurer la protection des données qu’elle exploite. « Toute entreprise qui exploitera les données dont elle dispose devra mettre en œuvre des procédures “by design” pour garantir la protection des données. Autrement dit, avant toute démarche, elles devront avoir établi la manière dont elles comptent collecter, exploiter, archiver et détruire leurs données. Tout cela devra être documenté. Pour une banque, qui ne fonctionne que sur base de données, ces enjeux ne sont pas négligeables », commente François Barret.

Quelle que soit l’entreprise, et pas uniquement dans le secteur bancaire, de nombreux processus seront concernés. Tout vol, perte ou violation de l’intégrité des données devra être signalé. Et une dérive relative à l’utilisation et la protection des données personnelles pourra entrainer des amendes conséquentes, pouvant aller de 2 à 10% (taux encore en discussion au PE) du chiffre d’affaires global de l’entreprise prise en défaut.

Repenser la préservation de ses données

« Il appartiendra aux acteurs, dans les mois à venir, de se préparer à l’application de ce nouveau règlement. En dehors du Luxembourg, beaucoup ont déjà entamé
un processus d’adaptation de leur organisation. Ici, les acteurs semblent préférer attendre de disposer de l’ensemble des tenants et des aboutissants du règlement encore en discussion, explique Alexandre Minarelli, en charge des problématiques de sécurité de l’information pour le secteur industriel et commercial auprès d’EY Luxembourg. Cela dit, au-delà du règlement européen qui s’intéresse à la confidentialité des données personnelles, il faut repenser la manière dont on protège ses données en général, afin de mieux les préserver. » Les discussions autour de l’adoption de ce règlement doivent permettre de faire prendre conscience aux acteurs économiques de l’enjeu crucial que constitue une bonne protection des données. Reste que, lorsque vient le moment de sécuriser ses systèmes d’information, il est difficile pour chacun de déterminer par où commencer.

« Pour la donnée, les menaces sont nombreuses et variées. Il est illusoire de penser que son entreprise n’est pas la cible d’attaques venant de l’extérieur. À la question “suis-je susceptible d’être attaqué ?” se substitue aujourd’hui la question “quand serai-je attaqué ?” Ou encore “suis-je à même de me rendre compte que je suis attaqué ?”. Beaucoup le sont déjà sans même le savoir », commente Alexandre Minarelli.

« Il est illusoire de penser que son entreprise n’est pas la cible d’attaques venant de l’extérieur. »

Face à une menace multiforme, pouvant provenir aussi bien de l’extérieur que
de l’intérieur de l’entreprise, il importe d’adopter une démarche pragmatique.

« Il faut que chaque acteur commence par se demander ce qui est crucial pour lui. Quelles sont les données importantes ou indispensables à la création de valeur pour le bon fonctionnement de l’entreprise ? Quelles sont celles qui ne devraient pas se trouver dans les mains de tiers ? On peut évoquer les données des clients, leurs coordonnées ou encore des brevets, des licences, des projets, des informations relatives aux données financières », précise Alexandre Minarelli.

Une réponse adaptée aux risques

C’est donc par une analyse des risques liés à l’information qu’il faut débuter toute démarche de sécurisation. S’inscrire dans cette logique permettra le plus souvent de révéler des faiblesses auxquelles il convient de répondre.

« Au fur et à mesure que le business va se digitaliser, ces enjeux de protection de la donnée vont apparaître comme incontournables. »

En découlera une meilleure prise de conscience des points névralgiques
liés à l’activité de l’entreprise. « Un des défis, pour les années à venir, sera de changer la perception qu’ont les acteurs des investissements en sécurité. Pour beaucoup, ils n’apparaissent généralement pas comme créateur de valeur, parce que ces acteurs n’ont pas conscience des enjeux qui se cachent derrière une meilleure préservation et valorisation de la donnée », assure François Barret. Bon nombre de petites entreprises ne se rendent pas compte des trésors dont elles disposent, des possibilités qui s’offrent à elles si elles décidaient de mieux les exploiter.

« Dès lors, elles ont une conscience très relative du risque qui est lié à la perte de ces données, poursuit François Barret. Cette perception doit changer. Au fur et à mesure que le business va se digitaliser, ces enjeux vont apparaître comme incontournables. Pour cette raison, la sécurité doit être envisagée comme un “enabler” du business, un “atout” à partir duquel on peut se différencier, créer de la confiance. »

Une fois les données identifiées, il sera possible de les cartographier avant d’envisager les moyens de les protéger. « Il faut pouvoir anticiper la perte de données ou d’éventuelles attaques, mais aussi prévoir les moyens de détecter toute anomalie et de répondre à un problème au cœur des systèmes, poursuit Alexandre Minarelli. Mettre en place des systèmes de protection n’est aujourd’hui plus suffisant. Il est devenu indispensable de pouvoir détecter les signes d’attaques, d’y répondre rapidement et de faire preuve de proactivité. »

Avec une meilleure connaissance de la menace, on est mieux armé pour se protéger. Il faut donc pouvoir se mettre dans les chaussures du hacker, s’imaginer quelles données ils pourraient tenter de subtiliser, afin de mieux les protéger.

Une gestion externalisée de la sécurité

Mettre en place des procédures visant à protéger ses systèmes d’information, en se concentrant sur la prévention, la protection et la réponse, n’a rien d’évident, et encore moins pour des petites structures qui n’ont pas les ressources ni les compétences à dédier à la sécurité. « Des solutions d’externalisation de la gestion de la sécurité ont vu le jour ces dernières années. Les Security Operations Center (SOC) permettent aujourd’hui d’opérer à distance un monitoring de la sécurité des systèmes d’information de l’entreprise. Des modes d’action inhabituels peuvent dès lors être rapidement détectés », explique François Barret. Ces SOC permettent à une large variété d’acteurs de profiter de compétences pointues, à jour, qui évaluent la menace de manière permanente.

« La manière dont sont monitorés les systèmes aujourd’hui est bien plus poussée que dans le passé. Au-delà des logs, l’activité peut être évaluée via de nombreux indicateurs, en tenant compte des risques et des données clés cartographiées », précise Alexandre Minarelli. Si ces solutions existent et se font désormais accessibles, il reste à la majorité des acteurs d’en profiter, afin d’assurer leur pérennité.