Dans cette unité, nous allons voir comment, en tant qu’utilisateur, nous pouvons participer activement à préserver la sécurité de nos données et celles de notre entreprise.
Pour commencer cette unité, définissons ensemble ce qu’est une donnée.
Une « donnée » doit être largement entendue puisqu’elle englobe plusieurs caractéristiques : un type, une criticité, des droits et des moyens d’accès.
Une donnée peut se présenter sous différents formats : elle peut être physique (documents papiers, affiches, livres, etc.) ou numérique, c’est-à-dire comprenant des fichiers électroniques (ppt, xls, doc, odt, odp, jpeg, html, sons, vidéos, animations, etc.)
Selon leur forme et leur criticité, ces données seront stockées sur différents supports, eux-mêmes plus ou moins accessibles à d’éventuelles personnes malveillantes.
Indépendamment de tout support, retenons qu’une donnée est une information.
Au niveau informatique, la donnée est stockée dans le temps sur un support de stockage (disque dur, CD, clé USB, serveur de fichiers, système d’information, etc.).
À un instant T elle peut également être présente dans la mémoire vive d'un ordinateur, transiter sur le réseau, ou encore être analysée par un système de détection d'intrusion, etc.
Une donnée est générée et stockée sur des moyens informatiques de notre système d’information.
Ces supports permettent de la produire, de l’utiliser, de l’archiver, de la modifier et de la partager.
La principale notion caractérisant les données est la criticité, c’est-à-dire leur importance pour vous-même ou pour votre entreprise.
Les données sont pour l'entreprise ce que le cerveau est à l'homme : mémoire et intelligence.
Elles constituent des informations sensibles pouvant porter atteinte à l'entreprise si elles sont divulguées à des tiers.
Une donnée ne doit être accessible qu’aux personnes autorisées, il est donc important de mettre en place un système de classification et de définir qui a accès à quel niveau de classification.
Une donnée/information a une durée de vie. Tout comme un être humain qui nait, vit et meurt, une donnée/information a une date de création, une durée de vie utile au cours de laquelle elle peut être modifiée, puis une phase d'obsolescence dans laquelle elle n'a plus de valeur (ou une valeur réduite).
La destruction de la donnée sur un support peut intervenir pendant la phase de durée de vie utile ou lorsque l'information n'a plus de valeur.
On parle pour cela de
« cycle de vie de l’information ».
Les modalités concernant son classement, son stockage, son échange et sa destruction, sont définies dès sa création selon sa classification.
Il existe plusieurs niveaux de risque pour vos données.
En matière de sécurité de l’information, on considère que ces risques pour les données sont plus ou moins importants selon les critères des Disponibilité, d’Intégrité et de Confidentialité (DIC), connue aussi sous le nom Anglais CIA (Confidentiality, Integrity, Availability).
Le premier niveau de risque atteint la disponibilité des données, c’est-à-dire le fait que le système ne soit pas disponible pour un utilisateur autorisé.
En 2016 par exemple, de nombreuses attaques de type déni de service (DDOS) ont ainsi atteint de nombreux sites mondialement connus, notamment grâce aux objets connectés comme nous avons pu le voir précédemment avec des caméras de vidéosurveillance.
Le deuxième niveau de risque porte sur l'intégrité des données, c’est-à-dire sur la modification non-autorisée d'une donnée.
En effet, la modification d'une transaction sur le réseau ou la modification d'un enregistrement en base de données par exemple, peut engendrer des conséquences pour l’entreprise qui se retrouverait ainsi avec des données erronées entrainant des pertes financières.
Enfin, le troisième niveau de risque porte sur la confidentialité, c’est-à-dire sur la divulgation non-autorisée de données.
En effet, comme nous avons pu le voir, les données sont classifiées et les conséquences de leur divulgation peuvent être plus ou moins importantes selon leur niveau de classification (secret, confidentiel, etc.).
La divulgation des données peut être causée par des individus malveillants, mais elle peut également provenir de manière involontaire des collaborateurs lors de leurs déplacements par exemple.
Rappelons que les données sont ce que le cerveau est à l’homme : mémoire et intelligence.
Elles sont le patrimoine informationnel d’une entreprise. Il est la richesse de votre entreprise au quotidien et son capital de développement futur (portefeuille de prospects/clients, nouveaux projets/produits, recherche et développement, etc.).
La protection de ces données garantit le fonctionnement quotidien de l’entreprise mais aussi sa pérennité car si ce patrimoine venait à disparaitre, elle ne pourrait plus fonctionner aussi efficacement.
En tant qu’employé et utilisateur du système d’information de votre entreprise, vous êtes donc tenu de faire les sauvegardes adéquates (assurer la disponibilité), de ne pas les modifier lorsque cela n’est pas nécessaire (assurer leur intégrité), mais aussi de vous assurer que les données ne sont pas accessibles à n'importe qui (préserver la confidentialité des données).
Pour protéger les données de votre entreprise, notez qu’il est tout d’abord nécessaire d’être attentif à :
Pour assurer la continuité de son activité et protéger son patrimoine informationnel, votre entreprise dispose généralement de moyens de protection.
Pour cela, elle peut par exemple :
En tant que salarié d’une entreprise, il est de votre devoir de protéger son patrimoine informationnel, mais au-delà de ce point, il est également important de protéger sa réputation et son image.
N’oubliez pas que construire l'image et la réputation d’une entreprise prend beaucoup de temps, mais que cela est très rapide à détruire.
En effet, si un pirate modifie par exemple la page d’accueil de votre site internet, votre image peut en être profondément affectée.
Votre entreprise met généralement en place un ensemble de mesures pour éviter les risques les plus basiques (proxy* pour éviter les sites malveillants, antivirus ou sandbox* sur les pièces-jointes des emails, antivirus sur les postes pour éviter la contamination, etc.).
Cependant, vous devez toujours rester vigilant car ces mesures seules ne suffisent pas face à un attaquant très motivé qui pourra vous atteindre par la ruse.
En tant qu’utilisateur du système d’information de votre entreprise, vous devez être vigilant face aux cyber-risques tels que les tentatives d’hameçonnage, de rançonnage ou de compromission par des virus présents sur les périphériques amovibles par exemple.
Restez conscients que toutes les mesures mises en place par votre société, aussi restrictives soient-elles pour vous, ne protègeront jamais à 100% le système d’information si vous n’êtes pas impliqué dans sa sécurité et si vous ne restez pas vigilant au quotidien.
Au quotidien, il est nécessaire d’avoir une attitude proactive pour éviter les incidents de sécurité.
Si malgré votre vigilance, vous constatez un incident de sécurité, rappelez-vous que chaque seconde compte pour limiter les conséquences pour votre entreprise.
En tant que salarié vous devez signaler toute anomalie dès sa survenue à votre hiérarchie, par tous les moyens et quel que soit le type d’incident : erreur humaine, intrusion physique, violation de compte, etc.
Restez toujours vigilant car le fait de ne pas rapporter rapidement un incident de sécurité peut avoir de lourdes conséquences sur la capacité de votre entreprise à réagir pour en limiter les effets et éviter les ré-occurrences.
Outre le fait de corriger immédiatement une faille ou une anomalie, le signalement de l’incident permettra d’améliorer durablement la sécurité en prévoyant par exemple de nouveaux investissements de matériel ou en révisant les procédures de gestion d’incident en place.
Notez que si une personne malveillante a ciblé votre entreprise et ne parvient pas à y pénétrer, elle peut essayer de récupérer les informations qu’elle cherche dans les poubelles qui restent le plus souvent accessibles et éloignées de votre vue.
Pour éviter que vos documents confidentiels ne soient compromis, il est recommandé d’utiliser des broyeurs de papier, de préférence en « coupe croisée », pour détruire vos documents avant de les jeter.
Respectez les mesures mises en place par votre entreprise et ne cherchez pas à les contourner.
De même, n’empêchez pas les mises à jour de vos postes de travail et de l’ensemble de votre matériel informatique.
En effet, votre entreprise fait généralement le nécessaire pour que le système et les logiciels se mettent à jour selon ses conditions.
N’oubliez pas que votre poste de travail doit être verrouillé lorsque vous devez vous absenter.
En effet, un visiteur un peu curieux pourrait tenter de s’introduire dans votre machine et pourrait ainsi accéder à vos documents, mais aussi à ceux de votre entreprise si vous êtes connecté sur le réseau.
De même, lors de vos déplacements (train, avion, restaurant, etc.) soyez vigilant à ne pas laisser une personne espionner vos documents ou écouter vos conversations et gardez toujours votre matériel informatique à proximité.
Enfin, n’emportez pas d’informations confidentielles afin d’éviter que celles-ci soient compromises.
Rappelez-vous que votre ordinateur est une porte ouverte sur le système d’information de l’entreprise.
Afin d’éviter une intrusion incontrôlée et le vol de données confidentielles, vous devez toujours verrouiller votre session en quittant votre poste, même un court instant.