Dans la continuité du dossier consacré au Zero Trust, et après avoir abordé l’identité, c’est à l’importance des données, et en particulier à leur classification, que nos deux prochains articles seront dédiés.
Ce 5ᵉ épisode s’attachera sur la définition des données au sein de l’entreprise et la nécessité de les classifier dans un objectif de cyberdéfense.
Qu’est-ce qu’une donnée ?
Une donnée est une représentation conventionnelle d’une information qui peut concerner un salarié, un client, un prospect, un contrat, un objet, une transaction financière, un mail, un événement, un projet… Les données sont partout et couvrent tous les aspects de la vie d’une organisation (entreprise, collectivité, structure gouvernementale…), de la stratégie à la gestion des ressources humaines, en passant par le développement commercial. Elles constituent le patrimoine informationnel d’une entreprise.
Où les trouve-t-on ?
Quand on parle de « données », on pense la plupart du temps à des fichiers informatiques, des tableurs Excel ou des documents sous format Word, Power Point… qui peuvent être stockés sur des supports informatiques (PC, tablettes, baies de stockage, disques externes, mobiles.). Mais on retrouve des données absolument partout : fichiers, emails, SMS, messageries instantanées… Ces médias aussi peuvent véhiculer des données sensibles. Il ne vous est jamais arrivé d’envoyer par SMS un mot de passe ? Moi, oui et plus d’une fois !
Quelles sont les risques liés aux données ?
Aujourd’hui, aucune entreprise ne travaille sans données. Elles sont partout et sont le carburant du système d’information des organisations. Noms, adresses, emails, numéro de téléphones, numéro de sécurité sociale, numéro de carte bleue, etc… sont le principal objectif des cyberattaquants. Ces données se revendent et servent pour divers usages, dont la préparation des arnaques que nous recevons tous par sms, téléphone ou email. Ces menaces ne cessent d’augmenter. De plus les cybercriminels améliorent leurs modes opératoires
D’autres risques existent, moins connus mais tout autant importants :
- L’erreur humaine (destruction ou d’extériorisation…)
- Les accidents extérieurs (coupure d’électricité, foudre, incendie.)
- Les défaillances internes (crash d’un disque dur, problème sur les serveurs.)
- Le vieillissement des équipements informatiques (incompatibilité matérielle, obsolescence des logiciels ou des machines, absence de mises à jour qui peuvent entraîner l’exploitation de vulnérabilités).
Quelles sont les données les plus sensibles ?
Tout dépend du secteur d’activité de l’entreprise, pourrait-on dire. Mais, on peut se référer au cadre réglementaire publié par la CNIL : une donnée informatique est considérée comme sensible quand elle fournit potentiellement un avantage quelconque (économique et/ou stratégique) et dont la fuite, l’altération, la destruction ou l’utilisation frauduleuse peut porter préjudice à l’entreprise.
Communément, les données sont répertoriées en 5 grandes catégories :
- Les données relatives aux personnes : clients, prospects, collaborateurs, partenaires… et donc toutes les informations personnelles
- Les données relatives aux métiers de l’entreprise : le savoir-faire, les secrets de fabrication, les méthodes de conception, les brevets, les plans.
- Les données stratégiques et organisationnelles : les choix stratégiques, les projets liés au développement de l’entreprise.
- Les données économiques et financières : trésorerie, montages financiers, tarifs, rémunération, budgets…
- Les données légales : soit toutes les informations concernant les contraintes réglementaires.
À ces catégories, on peut ajouter la notion d’impact sur l’entreprise en cas de perte ou de fuite. Exemple : quelles seraient les conséquences pour un laboratoire pharmaceutique si les données de ses salariés fuitaient sur Internet ? Seraient-elles les mêmes si ces données concernaient la gestion de ses stocks ?
Par ailleurs, cette approche permet également de répondre aux contraintes légales liées au RGPD . En effet, dans le cadre de cette règlementation, il est primordial de bien maîtriser ces données, sous peine d’amende (4% du CA de l’entreprise dans le monde ou 20 millions du CA), à travers différents items complémentaires à la classification :
- Les moyens de collecte
- L’utilité de ces données
- La manière dont elles sont sécurisées
- Le délai de conservation
- …
Cette notion de classification des données et de niveau de criticité est fondamentale dans la mise en place d’une politique de conservation et de sauvegarde, ainsi que dans la mise en conformité RGPD.
