Retour au blog

18 août 2022

Articles

En matière de sécurité des données, tout le monde joue un rôle dans la solution

On dirait que chaque semaine on entend parler de nouvelles menaces pour nos vies virtuelles !

Pourtant, on ne peut pas vraiment se passer de nos téléphones intelligents ou de nos ordinateurs portables… personne ne veut plus avoir à se rendre en personne à la banque pour déposer un chèque ou payer une facture ! Et puis, c’est quand la dernière fois que vous vous êtes rendu quelque part en voiture, en suivant de vagues instructions griffonnées au dos d’une serviette de table ?

Écrit par

Peter Modesto

En matière de sécurité des données, tout le monde joue un rôle dans la solution
Share

Tout ça, c’est tellement… pré-internet ! De nos jours, nous disposons de toutes sortes d’aides électroniques. Nous ne voulons pas nous priver de ces commodités et pourtant, pour les rendre possibles, nous voilà en train de partager nos informations sur un outil conçu à l’origine pour faciliter le partage de l’information, sans trop se soucier de sa sécurité. En effet, à l’aube de l’internet, il n’y avait pas de méchants – du moins, c’est ce que croyaient beaucoup de gens à l’époque.

Les entreprises font maintenant face à un éventail complexe et en expansion constante de mesures visant à protéger ce qui compte le plus pour elles : les informations qui leur permettent de mener leurs affaires. Souvent, ceci concerne également vos données personnelles !

Derrière le jargon et les détails technologiques, il existe quelques principes qui peuvent nous aider à mieux comprendre les menaces qui pèsent sur la sécurité de l’information ainsi que la manière de les aborder.

 

« Nous ne sécurisons plus les ordinateurs. Nous sécurisons la société. »

Mikko Hyppönen

 

Soyez conscient des menaces à la sécurité

Avant tout, il faut être conscient des menaces. Il ne s’agit pas de se laisser aller à l’esprit paranoïaque. Il suffit simplement d’accepter que la vie en ligne, avec sa facilité et sa commodité, comporte aussi des dangers bien réels. Des données commerciales sont piratées, des mots de passe sont craqués et des vies peuvent être bouleversées.

Aucune entreprise ne souhaite voir sa réputation compromise par un manque de sérieux dans la prise en compte des menaces.

À quel point sont vos données indispensables ?

Avant de pouvoir décider de la meilleure façon de se protéger et de garder ses clients à l’abri, une entreprise doit se faire une idée précise des données qu’elle traite. Par exemple, aujourd’hui tout le monde utilise un système de paie numérique, n’est-ce pas ? Voilà des données plutôt sensibles : des détails personnels sur les employés et leurs informations bancaires.

Mais ça ne s’arrête pas là. Qu’en est-il des transactions en ligne, ou encore des stratégies marketing d’une entreprise pour l’année prochaine ? Les deux peuvent se révéler assez critiques. Dans le premier scénario, l’entreprise est responsable des informations de paiement de ses clients, telles que les données des cartes de crédit ; dans le second, personne ne veut que ses concurrents soient au courant de sa nouvelle stratégie pour gagner des parts de marché lors du prochain trimestre.

Il est également évident que tous les bits et octets de données d’un système de démonstration ne sont peut-être pas essentiels et que tout ne s’écroulera pas si le système est mis hors service pendant quelques jours. Il est donc impératif de tenir un catalogue de données à jour et d’attribuer des priorités réalistes à chaque composante.

En effet, un catalogue actualisé des actifs de l’entreprise, tant physiques qu’informationnels, est la condition préalable au respect de toute norme de sécurité ou à l’élaboration d’un plan quelconque en cas de problème – voir ci-dessous pour en savoir plus.

Les services extérieurs que vous utilisez, sont-ils vraiment sécurisés ? 

Qui a accès au système de paie de l’entreprise dont nous avons parlée plus haut ? Êtes-vous en mesure de savoir qui s’est connecté et a réalisé la dernière action dans ce service ? Se trouve-t-il en ligne ? Tous vos fournisseurs de services en nuage sont-ils fiables, c’est-à-dire ont-ils mis en place les bonnes mesures de sécurité ? Et les RH ? L’entrepôt ? Est-ce que les opérations en ligne de l’entreprise sont prises en charge par un tiers ?

D’ailleurs, la présence numérique d’une société ne se repose pas uniquement sur les serveurs qu’elle gère elle-même. Elle existe aussi partiellement dans les services qu’elle obtient des autres.

Sont vos données accessibles à tout le monde ?

Tous vos utilisateurs ont un identifiant et un mot de passe uniques, n’est-ce pas ? Et chacun d’entre eux utilise-t-il un mot de passe fort ? L’authentification est multifactorielle ?

Qu’en est-il de ceux qui travaillent à distance : est-ce que la compagnie s’assure que les gens n’ont seulement accès qu’aux données dont ils ont besoin pour effectuer leur travail ? Avez-vous la possibilité de savoir qui a accédé à quelle application ? À quel moment ?

Et le cryptage ? Les données critiques de l’entreprise sont-elles stockées de manière à ce qu’elles ne puissent pas être lues par quiconque ? Qu’en est-il lorsque ces informations sont extraites et mises à jour à distance ? Les données sont-elles cryptées lorsqu’elles sont transmises par internet (comme vous le savez, elles peuvent être interceptées) ! Que se passe-t-il une fois qu’elles atteignent un poste de travail ? Supposons enfin que votre directeur financier soit parti en voyage d’affaires et qu’il ait perdu son ordinateur portable, c’est-à-dire qu’il se le fasse voler. Cette situation aurait pu constituer une véritable menace catastrophique pour la compagnie si les données contenues dans son poste de travail étaient conservées en format texte et protégées uniquement par un faible mot de passe. Heureusement pour vous, votre équipe informatique a veillé à ce que tout soit crypté afin d’empêcher les mauvais joueurs d’y jeter un coup d’œil. Par ailleurs, les données étaient sauvegardées sur un serveur propre à l’entreprise. Par conséquent, la situation s’est résumée à un simple inconvénient : remplacer l’ordinateur portable perdu, plutôt que de révéler des secrets d’entreprise !

Cette question fondamentale comporte de nombreuses dimensions et il existe plusieurs façons de traiter tout ce qu’elle implique. Nous n’avons pas ici l’espace nécessaire pour explorer tous les tenants et tous les aboutissants, mais comprendre comment nos données peuvent être consultées – tant de manière légitime que moins légitime – c’est un bon début pour permettre de prendre de bonnes décisions.

Êtes-vous capable de retrouver les informations que vous avez perdues ?

Oups ! L’un de vos serveurs a développé un problème et a cessé de fonctionner. Peut-être qu’il ne fonctionne pas correctement ces derniers temps ? Se ralentissant avant d’être réellement en panne ? Il n’y a rien de drôle là-dedans, ça arrive. Les appareils deviennent usés. Quelqu’un a peut-être trop tardé à programmer la mise à niveau qu’il avait prévue. Et il reste toujours la question de l’ordinateur portable perdu du directeur financier.

Ce qu’il faut se demander, c’est combien de temps faudra-t-il à votre équipe informatique pour vous remettre en état de marche à partir d’une sauvegarde ?

Comment ça ? Votre sauvegarde n’a pas pu être récupérée correctement ? Vous avez oublié de tester la procédure de récupération? Oh, là là. Ou alors vous l’avez bien fait et la récupération a été parfaite, mais les données datent de mardi dernier et beaucoup de choses se sont déroulées depuis ? Votre entreprise s’est peut-être étendue si rapidement que vos procédures de récupération n’ont pas pu tenir le coup. Eh bien, félicitations pour la croissance rapide, mais…

Avez-vous mis en place un plan de sécurité de l’information ?

Ce qui compte vraiment au bout de la ligne, c’est l’existence ou non d’un plan. Votre plan permet-il d’identifier les menaces potentielles auxquelles vous risquez d’être confronté ? Un ransomware ? Protégez-vous les visiteurs de votre site internet contre les infections par des logiciels malveillants ?

Tenez-vous ce plan à jour ? Soyons réalistes : il s’agit là d’un véritable défi.

Le bon moment pour établir un plan de reprise après un incident est bien avant que quelque chose ne se produise, et le revoir ensuite périodiquement. Dès que le pelage commencera à voler, vous serez heureux de l’avoir fait.

 

Un point de départ pour la sécurité de l’information

Il ne s’agit pas ici d’un exposé exhaustif sur la sécurité de l’information. Un blog n’a pas suffisamment de place pour cela. Nous pouvons néanmoins sensibiliser le public et mettre en évidence quelques principes clés à retenir afin que chacun puisse comprendre davantage ce qui est en jeu.

Chez Inoria, nous sommes tenus aux normes les plus élevées par nos clients – des chefs de file dans leur domaine et parmi les plus grands fournisseurs de technologie sur le marché actuel. Nos solutions et services novateurs en matière de centres de contact doivent répondre aux mêmes critères d’excellence que ceux exigés par nos clients.

Nous faisons tout notre possible, jour après jour, pour proposer les meilleures idées, les plus avant-gardistes, afin que les opérations de nos clients continuent de se dérouler sans interruption et en faisant preuve d’une vigilance constante face à tout ce qui pourrait nous arriver.

Articles Liés

Voir tout
Gérer l'impact des expériences client négatives

22 mars 2024

Articles

Gérer l’impact des expériences client négatives

Stratégies modernes pour l'effectif Gen Z en centre de contact

29 février 2024

Articles

Stratégies modernes pour l’effectif Gen Z en centre de contact

L'évolution du RVI au fil des décennies

29 février 2024

Articles

L’évolution du RVI au fil des décennies

Infolettre

Recevez l'information pertinente sur l'industrie!