Cybersécurité : sécuriser les données de l’entreprise

Quelle que soit sa taille, une entreprise détient des données sensibles à protéger. Fichiers clients, contrats, données personnelles des salariés, documents techniques, stratégie commerciale… :
un vol, une fuite, une altération ou une indisponibilité de ces données peut avoir des conséquences économiques, stratégiques et d’image pour l’entreprise.
De nombreux cas relatés dans les médias ces dernières années l’ont prouvé.
Antoine Toupet, responsable de la sécurité des systèmes d’information et consultant en cybersécurité chez CNPP Cybersecurity, nous explique comment protéger les données sensibles.

Quel est le point de départ d’une politique de protection des données ?

Antoine Toupet. Pour protéger leurs données, les entreprises ont d’abord besoin de comprendre leur système d’information. Pour cela, elles doivent se demander quelles sont leurs données, quels sont les process et activités qui interagissent avec ces données (également appelés « actifs primaires ou primordiaux » dans le domaine de la gestion des risques) et sur quoi ils reposent, c’est-à-dire ce qui permet de les faire fonctionner ou d’avoir une donnée accessible, disponible et utilisable : serveurs, réseaux, utilisateurs, infrastructure, applications, fournisseurs… À partir de là, les entreprises vont pouvoir identifier les risques et visualiser ce qu’il faut protéger.

Une fois que l’on sait qu’on a des données sensibles stockées sur tel serveur, qu’on y accède depuis tel équipement, sur tel réseau, qu’elles sont manipulées de telle manière, on recherche s’il existe des vulnérabilités pour ensuite les corriger pour que le niveau de risque soit acceptable par rapport à une échelle validée par la direction (conséquences sur l’organisation en cas d’incident, probabilité que le risque se produise…)….