Protéger son entreprise
 

Protéger les données

Les processus métier tout comme les données sont appelés des actifs primaires (Classification des actifs; gestion des risques). La première priorité pour une mise en sécurité au niveau informatique concerne la protection de ces actifs primaires.

Toute entité a un intérêt particulier à protéger ses données d'entreprise, notamment lorsqu'il s'agit d'informations relatives à la réalisation du plan économique de celle-ci. Par ailleurs, les exigences légales ou encore les attentes clients représentent également des raisons qui amènent une entreprise à protéger des données spécifiques.

Différents types de données qui doivent être protégées :

  • la propriété intellectuelle

  • les secrets de production

  • les données clients

  • les données des processus, comme notamment les données logistiques, comptables, fournisseurs,…

La perte de données a généralement des conséquences néfastes pour toute entité.

Classification des données

Avant de mettre en place des mesures de protection l’entité doit procéder à une classification, au moins sommaire, des données qu’elle traite. Cette classification est importante pour prendre conscience de la juste valeur (confidentialité, intégrité et disponibilité) des données. Dépendant de la valeur des données, respectivement de l'impact attendu en cas de compromission des données, l’entité va pouvoir décider de l'investissement à consacrer à la sécurité des données.

Remarque : le schéma de classification appliqué aux informations doit aussi être appliqué aux contenants, c’est-à-dire aux conteneurs, aux emplacements physiques et aux supports contenant des informations. Le terme contenant est considéré au sens large

La sauvegarde des données

Toutes les données qui ont été identifiées au sein d'une entreprise comme ayant un besoin de disponibilité doivent être sauvegardées. Par la création d'une copie de sauvegarde, la perte ou destruction des données primaires peut plus facilement être compensée. La sauvegarde devient cependant plus difficile, lorsque les données à sauvegarder revêtent un caractère confidentiel ou d’intégrité.

Les données ayant un besoin de confidentialité doivent être protégées contre tout accès illicite, indépendamment du support sur lequel ils se trouvent et indépendamment de l’endroit où ils sont stockés.

Les données ayant un grand besoin d’intégrité doivent être protégées contre toute modification par des personnes non autorisées. Ceci vaut aussi pour les sauvegardes. De plus, en ce qui concerne les originaux papier digitalisés, il faut nécessairement respecter les conditions d’archivage électronique.

Politique de sécurité PME :

La destruction des données

Les données dont l’entreprise n’a plus besoin, respectivement celles qui doivent être supprimées, doivent être détruites de façon à ce que leur critère de confidentialité ne soit pas violé.

Une destruction définitive et sécurisée des données doit respecter certains critères de sécurité. Il existe des méthodes qui permettent la réutilisation des disques, ou même de l’ordinateur.

Pour des données strictement confidentielles, ils est fortement conseillé de détruire les supports de données, y inclus les disques durs, par broyeur ou démagnétiseur.

Politique de sécurité PME

La transmission de données

La technologie utilisée pour transmettre des données doit notamment respecter les critères de confidentialité et d’intégrité des données (plus rarement ceux relatifs à la disponibilité).

Il est fortement recommandé d’utiliser des moyens cryptographiques pour protéger les données à transmettre contre la perte de confidentialité et d’intégrité.

Toute communication via l'Internet (téléchargement, FTP) doit donc être chiffrée, au moins via SSL respectivement via un réseau VPN. L’envoi en clair (càd non chiffré) d’informations confidentielles via courrier électronique est strictement à éviter.

Politique de sécurité PME :

SOS :

Le transport de données

La technologie utilisée pour transporter des données doit respecter les besoins de confidentialité,  d’intégrité et de disponibilité des données (surtout pour des originaux).

Il est fortement recommandé d’utiliser des moyens cryptographies, et de sécurité physique pour protéger les données transportées contre la perte de confidentialité, d’intégrité et de disponibilité.

Politique de sécurité PME :