3 étapes pour éviter les fuites de données

Une main ferme un robinet
© dangphoto2517 via iStock

Protéger l'information stratégique d'une entreprise implique de mettre en place une politique de sécurité informatique. Cela exige notamment une classification des données en fonction de leur degré de confidentialité.

Une partie de la démarche d’intelligence économique consiste à maîtriser et protéger l’information stratégique de l’entreprise. Dès lors, il convient de déployer les moyens nécessaires pour s’assurer que cette information stratégique ne fuite pas, ou ne se retrouve pas entre de mauvaises mains. Pirates informatiques, concurrents mal intentionnés… Il existe cependant plusieurs moyens d’éviter les fuites de données, que toutes les entreprises peuvent s’approprier.

Déterminer le niveau de sécurité de chaque document

Loïc Guézo, secrétaire général du Clusif, l’association de la sécurité numérique en France, et directeur de la stratégie cybersécurité pour l’Europe du Sud chez Proofpoint, une entreprise de sécurité informatique, identifie plusieurs étapes pour protéger ses données.

La première concerne la gouvernance. « Il faut être capable de qualifier le niveau de sécurité des données, c’est-à-dire d’attribuer un niveau de classification aux différentes informations, et d’y associer des règles d’accès, qui vont se traduire ensuite en applications techniques. » Cela passe aussi par le marquage de documents, de façon visible à la fois pour que les personnes qui y ont accès connaissent leur niveau de confidentialité, et dans le but de les identifier en cas de fuite.

Former les salariés

Cette étape est très importante, et passe également par la formation des salariés. « L’objectif, idéalement, c’est de maîtriser la gestion de la donnée et d’éviter les fuites. Sans solution technique cela devient impossible aujourd’hui. Mais il ne faut pas se cacher derrière la technologie, ce n’est pas cela qui va régler tous les problèmes », insiste Loïc Guézo.

Recourir à des solutions techniques

L’étape suivante est de mettre en place des solutions techniques, qui auront pour but de pallier les dysfonctionnements. Négligences, malveillance, et manipulation d’un utilisateur de la part d’un attaquant externe à l’entreprise pour tenter d’exfiltrer de l’information via une intrusion informatique… Ces solutions vont servir à détecter les anomalies, alerter les équipes de sécurité, et bloquer les contenus. Aujourd’hui, elles ont souvent recours à l’intelligence artificielle pour traiter de grands volumes de données. Ce sont tous les outils qui veillent à ce que les utilisateurs n’envoient pas d’informations sensibles en dehors du réseau de l’entreprise. En jargon informatique, on les appelle DLP, pour data loss prevention.

Ne pas hésiter à se faire aider

Pour une PME, la mise en place de telles solutions peut s’apparenter à un vrai casse-tête. D’autant qu’historiquement, les DLP étaient constitués de nombreux modules différents. Cependant, la tendance actuelle est plutôt d’aller vers des systèmes unifiés, plus simples, intégrés et accessibles, qui couvrent les données partout où elles se trouvent (stockées, en mouvement, et directement sur les postes utilisateurs).

Pour cela, pas besoin d’aller chercher très loin, les grands éditeurs comme Microsoft en proposent. Cela peut être une solution qui assure un minimum de protection. « Nous recommandons aux PME de démarrer par la gouvernance et la classification des données, et de se former avec un minimum d’outillage. Si besoin, en cas d’attaque, elles pourront toujours se tourner vers la police et être accompagnées par la DGSI », relève Loïc Guézo. Alors, plus d’excuse.

à la Newsletter
Partager

Inscrivez-vous gratuitement à la newsletter de Major !

Major ne vendra pas votre e-mail et aucune pub ne vous sera envoyée. Vous pouvez vous désabonner à tout moment.