Identifiez et protégez vos informations sensibles : trois questions à I. de Parcevaux

Le 22 juin 2011

Partager sur Facebook Partager sur Twitter Partager sur Viadeo Partager sur LinkedIn
Consultant, conseil en systèmes informatiques et réseaux, Ildut de Parcevaux est intervenu à la CCI de Rennes le 6 juin 2011 sur la protection des données sensibles de l'entreprise. I. de Parcevaux nous présente les risques majeurs auxquels les entreprises sont confrontées et donne des repères aux dirigeants pour les aider à prévenir ces risques.

Quelles sont les principales menaces qui pèsent sur le patrimoine de l'entreprise ?

Avant d'aborder les risques sur le patrimoine de l'entreprise et sur sa volatilité, il faut prendre conscience de la valeur du patrimoine numérique de son entreprise. La comptabilité, les secrets de fabrication, les devis, les factures, la gestion du personnel, les échanges de la Direction, les archives, tous ces éléments reposent sur une politique de protection cohérente plus que sur des moyens techniques.

Aujourd'hui tous les responsables ont conscience d'un besoin de sécurité, mais très peu de chefs d'entreprise considèrent qu'il est dans leur fonction de s'intéresser à l'existence d'une réelle politique. Quand bien même il y a réelle préoccupation celle-ci est généralement déléguée à un tiers qui en aura une préoccupation parcellaire, bien souvent uniquement technique.

Expert judiciaire, je retrouve ces entreprises en litige judiciaire : le prestataire ne savait pas, n'avait pas prévu, pensait que, ou bien on ne lui avait jamais demandé. Dans tous les cas, l'entreprise a subi une perte incommensurable : informations partie à la concurrence, des jours de travail volatilisé, des clients perdus …

Comment ces entreprises peuvent-elles prévenir ces risques ?

Au risque de me répéter, je dirai que la prévention est de la responsabilité exclusive du dirigeant. C'est le dirigeant qui doit s'inquiéter des risques et différencier les risques "acceptables" des autres. Ce n'est pas une affaire de technique c'est une affaire de bon sens, de cohérence dans les décisions et les investissements.

Pour cette étape le dirigeant peut se faire aider par un expert qui aura pour mission de déceler l'ensemble des besoins de l'entreprise, de les formaliser puis de les traduire en besoins techniques avec une corrélation entre contexte et budget.

Peut-on accepter de perdre le travail d'une journée ? Accepte-t-on que l'informaticien, responsable syndical, accède aux données bureautiques de la direction, aux données des ressources humaines ? Tolère-t-on que le commercial se déplace en clientèle avec l'ensemble des devis sur son portable ou sa clé USB non cryptés ? ...

Sur tous les sinistres la faille est d'abord un défaut de politique de prévention même s'il y a eu une faille technique.

Ensuite il faut avoir des outils de surveillance simples, adaptés et exploitables par la Direction pour surveiller et contrôler les accès aux informations et l'activité des réseaux.

Quelles sont selon vous les premières mesures concrètes à mettre en place dans l'entreprise ?

La première mesure pour le dirigeant consiste à se poser et à poser des questions simples qui deviendront des réflexes, mais sans tomber dans la paranoïa :

  • je prépare ce courrier important, par exemple une lettre de licenciement, qui peut y accéder, en interne, en externe ?
  • si je perds un courrier rédigé il y a 2 mois, écrit il y a 2 ans a-t-on les moyens de le retrouver ? Peut-on le tester ?
  • mon commercial a quitté la société et s'est associé avec mon concurrent. Peut-il encore accéder à des informations internes par accès direct ou par des salariés sur place ? De quels moyens est-ce que je dispose pour le savoir ? Les journaux d'accès à mon système ou aux informations sont-ils opérationnels ?

Les premières mesures ne sont pas techniques. Le dirigeant doit amorcer une réflexion sur les risques ou confier cette réflexion à un prestataire extérieur non lié à des solutions techniques.

La meilleure démarche passe par un audit de la politique de sécurité qui devra être renouvelé.

_______

Pour en savoir plus : www.i-deparcevaux.eu

A lire également

Construire une stratégie d'influence : entretien avec Johann Fourmond

Le 27/04/2015

Johann Fourmond, fondateur et dirigeant du cabinet Influence & Vous, est intervenu à la CCI Rennes le 5 février 2015 sur le thème de l'influence. Johann Fourmond répond aux questions de Themavision sur l'élaboration d'une stratégie d'influence, les règles à prendre en compte et les retombées qu'une entreprise peut en attendre.

Gestion de crise en entreprise : les bons réflexes avant, pendant et après la crise

Le 14/04/2015

La Chambre de Commerce et d'Industrie de Carcassonne publie un guide destiné à toutes les entreprises souhaitant anticiper une situation de crise. Un document pratique qui conseille le dirigeant dans sa réflexion et son organisation en amont d'une crise, au moment où elle survient et en phase de redémarrage.

Quels risques pour les entreprises dans le monde en 2015 ?

Le 21/01/2015

Les zones de forte croissance économique dans le monde concentrent les risques les plus élevés pour les entreprises qui souhaitent s'y développer. C'est le constat formulé par le cabinet de conseil Control Risks qui publie une carte du "nouveau désordre mondial".