Quelle que soit la taille de l'entreprise, l'utilisation d'ordinateurs de bureau ou portables est devenue quasi incontournable dans tous les services. Toutes les données sont stockées, mémorisées et accessibles à l'ensemble des collaborateurs qui en ont besoin.
Au delà des incontournables protection antivirus, firewall, etc, pour surfer sur internet avez-vous identifié les risques induits par cette informatisation générale ?
Les données contenues dans les ordinateurs et les serveurs présentent un caractère opérationnel que personne ne contestera, et ces données représentent probablement le capital le plus précieux de votre entreprise !
Selon les récentes statistiques du ministère de l'intérieur, les vols d'ordinateurs et de données arrive en deuxième position derrière les vols de voitures . Les vols d'ordinateurs portables sont en constante augmentation, notamment dans les moyens de transport.
Tout cela n'est pas anodin et démontre bien que la guerre économique se joue sur le terrain de l'information.
La parade absolue n'existe pas, mais la prévention et l'anticipation peuvent éviter certains écueils.
Néanmoins avant de réfléchir à la protection contre le vol, il convient de se préoccuper tout d'abord du risque de panne, de pertes de données, des obligations légales dans le domaine du stockage des données et de la sensibilisation des collaborateurs.
En effet, que se passerait-il si votre système informatique tombait en panne ?
Avez-vous pensé à mettre en place un mode dégradé de reprise d'activité ?
Combien de temps faudra t-il à votre entreprise pour redémarrer ?
Qui peut accéder aux données ?
Quel est le caractère des données dont disposent l'entreprise ?
Tout un ensemble de questions à se poser et auxquelles il convient de répondre pour anticiper les déconvenues.
Il n'est pas question de traiter ici et répondre à toutes ces questions mais bien de sensibiliser les lecteurs sur quelques points essentiels dont beaucoup ont conscience mais ne se préoccupe trop souvent que lorsque le problème survient.
Par une première réflexion simple sur le système d'information, il est possible de mettre rapidement des mesures en place.
En effet, que se passerait-il si votre système informatique tombait en panne ?
Avez-vous pensé à mettre en place un mode dégradé de reprise d'activité ?
Combien de temps faudra t-il à votre entreprise pour redémarrer ?
Qui peut accéder aux données ?
Quel est le caractère des données dont disposent l'entreprise ?
Tout un ensemble de questions à se poser et auxquelles il convient de répondre pour anticiper les déconvenues.
Il n'est pas question de traiter ici et répondre à toutes ces questions mais bien de sensibiliser les lecteurs sur quelques points essentiels dont beaucoup ont conscience mais ne se préoccupe trop souvent que lorsque le problème survient.
Par une première réflexion simple sur le système d'information, il est possible de mettre rapidement des mesures en place.
►Réflexion sur les mesures techniques et physiques
- §Détermination de l’architecture du réseau
- §Gestion et utilisation du parc informatique
- §Antivirus, firewall, etc (versions et mises à jour)
- §Sécurisation des accès distants
- §Cryptage des données sensibles
- §Gestion des droits d’accès (internes et externes, niveaux)
- Mots de passe (renouvellement, mises à jour)
- §Sauvegardes des donnée► de l’entreprise :
- en interne
- à l’extérieur
Réflexion sur les mesures règlementaires et humaines
- §Droits du travail
- §CNIL
- §Brevets et INPI
- §Charte d’utilisation du système d’information
- §Informations utilisateurs
- §Sensibilisation et formation des collaborateurs
- §Comportement des collaborateurs
Retour sur quelques risques encourus
Le redémarrage tardif d'une entreprise en panne d'informatique peut engendrer des coûts importants selon la durée de la panne, et cela concerne toutes les tailles d'entreprises. Prenons le cas d'une entreprise dont 10 collaborateurs dépendent fortement de l'informatique qui est arrêtée 4 heures, cela fait au moins 40 heures de perdues à multiplier par le coût horaire de chacune. Même si les personnes trouveront à s'occuper, le redémarrage ne sera pas instantané et c'est bien la productivité de la journée entière qui sera entachée par cet incident.
La loi informatique et liberté précise de nombreux points sur les obligations légales des entreprises notamment au sujet de la détention de données personnelles et je vous invite à consulter le site de la CNIL et en particulier la page "vos responsabilités".
Le comportement des collaborateurs et l'usage des moyens mis à leur disposition ne doit pas être traité à la légère non plus par l'employeur au risque de se voir condamner.
Ce fut le cas dans le jugement rendu dans une affaire qui aurait pu prêter à sourire au départ mais dont l'employeur a fait les frais bien malgré lui : jurisprudence
Le travail dans le train est une source d'information inépuisable pour des personnes payées pour cela, et lorsque l'opportunité se présente, l'ordinateur est volé !
Je me rappelle de ce voyage en train où mon voisin appartenant à une grande société stratégique française (marqué par une étiquette sur son ordinateur) ouvre ses fichiers et se met à travailler sur un document marqué "confidentiel", puis quitte sa place pour quelques minutes en laissant son ordinateur sans surveillance. Je n'ai bien entendu pas volé cet ordinateur mais de part mon activité je me suis permis dès son retour de lui faire part de mon étonnement de cette "légèreté".
Qui n'a pas subi non plus de vol informatique de ses données, ne serait-ce que par le départ d'un collaborateur ? Quelles conséquences sur l'activité, etc, etc ?
Comme dit précédemment, il n'y pas de protection ni de parade absolue, mais il est possible de prendre un minimum de mesures pour se prémunir des risques les plus courants.
Pour conclure, sans verser dans la paranoïa, chacun comprendra que la gestion de l'information est une part indissociable du management au même titre que la production, le commercial, les RH, etc. car les outils sont presque maîtrisables, les utilisateurs beaucoup moins !
La sécurité, la protection des moyens et des données ainsi que la formation des collaborateurs sur ces sujets doivent être des axes prioritaires du développement des entreprises. C'est ce que je m'attache à promouvoir au travers de mes interventions car même s'il y a des fondements communs, il convient d'adapter la démarche à la culture et aux spécificités de l'entreprise.
