02 Mar La protection des données est aujourd’hui plus que jamais importante
Les données font aujourd’hui partie du patrimoine d’actifs de toute organisation. Ce sont des données internes afférentes au bon fonctionnement de l’entreprise, à ses salariés, à ses process, à ses secrets de fabrication, à ses contrats fournisseurs, etc.
Disposer de bases de données pertinentes est un facteur essentiel du succès des entreprises. C’est un facteur différentiant à l’instar du savoir-faire, de l’équipement industriel, de la force commerciale, de la puissance financière. Il existe pour cela sur le marché des solutions logicielles ad hoc pour aider les organisations à identifier et collecter les données informatives qui leur sont utiles.
Sont également à disposition des entreprises des solutions d’analyse et de synthèse de ces données. Le Big Data reste plébiscité par tous mais l’infobésité sévit et il faut donc savoir effectuer le bon choix parmi des solutions d’analyse, de tri et de synthèse, pour in fine voir soumis aux décideurs l’information qui leur est vraiment utile.
Pour s’assurer de la protection de ses bases de données, il est nécessaire que le collaborateur en charge de veiller, collecter, traiter, stocker les données et qui doit les rendre disponibles, se soit assuré de l’intégrité et la non-divulgation de ces données.
Les organisations, petites, moyennes ou grandes, sont donc appelées à mettre en place des process pour collecter, traiter et valoriser des données qui leur permettront de pratiquer un management par les données. Mais c’est à ce stade que le risque des cyber-attaques apparait. Ce dernier n’est plus désormais la seule crainte des gestionnaires de systèmes d’information, il concerne toute l’organisation et en particulier la partie opérationnelle, celle des équipements et du procédé (les OT). Aujourd’hui, les attaques en ransomwares sont pléthores : leur rentabilité est grande car elles ne demandent qu’un assez faible niveau de technicité pour être lancées.
La surveillance et la protection des accès et plus généralement la mise de ses installations en conformité avec la norme internationale qui fait désormais autorité l’ISA/IEC 62443, sont requises. Pour s’assurer de la protection de ses données, il est nécessaire que le collaborateur en charge de veiller, collecter, traiter, stocker les données et qui doit les rendre disponibles, se soit assuré de l’intégrité et la non-divulgation de ces données. Il veillera notamment à ce que, dans ces espaces de stockage, les données de chaque prospect/client soient cloisonnées dans des espaces compartimentés, que les données réputées sensibles soient ou puissent être chiffrées, si l’utilisateur l’estime opportun.
Former à la cybersécurité les professionnels en charge de la veille et tous les salariés qui doivent avoir accès aux bases de données est évidemment nécessaire.
On prêtera une attention particulière aux conditions d’accès à ces data centers. Les point d’accès devront être limités au maximum nécessaire et être parfaitement sécurisés. La possibilité devra être offerte aux organisations de doter l’accès donné aux veilleurs à un système de VPN et de double identification. Former à la cybersécurité les professionnels en charge de la veille et tous les salariés qui doivent avoir accès aux bases de données est évidemment nécessaire.
On peut se demander si les centres de données ont la capacité de résistance face à une attaque en déni de service et de forte intensité et pendant combien de temps. Enfin, il est conseillé de procéder à des tests d’intrusion réguliers par des sociétés tierces. Un système d’information aujourd’hui sécurisé, risque de ne plus l’être demain. De nouvelles failles sont régulièrement détectées sur des matériels jusqu’alors considérés comme sécurisés et les façons de procéder des cybercriminels s’enrichissent quotidiennement de nouveaux exploits.