Sécurisation de données informatiques

Pourquoi vouloir sécuriser les données informatiques ?

Réponse : parce qu'elles ont de la valeur.

Toute organisation utilise l'informatique, le web, et les bases de données pour son fonctionnement. Peu importe qu'elle soit commerciale, industrielle, publique, stratégique; peu importe sa taille sociale ou son poids financier. Les données sont au coeur des systèmes d'information, leur valeur se situe sur plusieurs plans :

• elles permettent le bon fonctionnement de l'organisation, de l'Entreprise
• elles permettent les échanges avec des tiers, notamment dans le cadre de relations professionnelles
• elles ont une importance stratégique (les détenir donne un avantage concurrentiel, commercial, industriel, ou tactique)
• elles ont une importance commerciale ou financière (elles permettent de gagner de l'argent)
• elles ont une importance sociale (vis à vis des citoyens et de la protection civile)
• elles modifient les rapports de force (détenir ou connaitre des données confidentielles est un moyen de pression)

La conséquence de cette valeur est que les données informatiques deviennent l'objet de curiosité, d'investigations, de manipulations, d'altérations, de vol, de destruction, de retransmission ou revente à des tiers, de chantages, ainsi que de contraintes règlementaires. Protéger et sécuriser les données informatiques est donc une façon de se protéger soi-même, de protéger l'organisation qui les utilise, de protéger les personnes qui dépendent de cette organisation, et plus généralement d'éviter les problèmes.

Comment sécuriser vos données ?

Assurer la sécurité de vos données (et de vos bases de données) passe par une première démarche d'audit, de réflexion, puis d'adaptation technique. Par la suite, une deuxième démarche régulière et récurrente sera de contrôler que les données restent sécurisées et qu'aucune violation de leur sécurité n'a lieu.

L'audit des données consiste à passer en revue l'intégralité des données détenues par l'organisation ou l'Entreprise. Les données peuvent être informatisées (de plus en plus) mais également stockées sous forme papier. Une cartographie complète des données, des sources de données, et des flux de données est réalisée. L'objectif pour les décisionnaires est de comprendre précisément à quoi servent les données et comment les sécuriser.

La phase de réflexion consiste à décider quelles données peuvent (ou doivent) être supprimées, sécurisées, autorisées ou interdites. A ce stade il s'agit de remettre à plat l'utilisation des données dans l'organisation, afin de rendre le tout cohérent et d'avoir une vision claire de la population des données.

La phase d'adaptation technique consiste à apporter des changements dans les données, les processus, et les systèmes de stockage. Les modifications techniques doivent aboutir à garantir la sécurité des données, assurer la maitrise de leur utilisation et des flux, mais aussi permettre un contrôle. Le contrôle est un point important car une fois la sécurisation de ses données réalisée, l'organisation devra s'assurer que le niveau de sécurité et de maitrise des données persiste dans le temps.

La question du RGPD

Depuis mai 2018 le RGPD (Règlement Général de Protection des Données) impose à toutes les organisations et possesseurs de systèmes d'informations, qui détiennent et traitent (de manière significative) des données, de réaliser l'audit de leur données, et de permettre leur contrôle et leur rectification rapide. Le sujet du RGPD est vaste, mais il comprend cette démarche de sécurisation des données informatiques, notamment des données à caractère personnel et des données dites « sensibles ».