Jusqu’à récemment, l’idée qu’un des employés de l’entreprise puisse commettre une trahison et compromettre des données sensibles était pratiquement inconcevable. Le consensus était que les menaces pour l’entreprise venaient de l’extérieur, et non de l’intérieur, et des mesures de sécurité ont été créées en conséquence. Cela a radicalement changé lorsque le monde a appris l’existence d’Edward Snowden, un entrepreneur jusque-là anonyme qui a volé et divulgué des fichiers sensibles de la NSA.
En plus de l’affaire Snowden, un rapport révélateur de « Boscom » a également remis en question l’idée que la principale menace pour les données d’une entreprise vient de l’extérieur : des pirates, des espions industriels et d’autres concurrents. Ce rapport révèle un fait troublant : près de quatre-vingt-cinq pour cent des anciens employés d’une entreprise ont quitté leur lieu de travail avec des données sensibles, si ce n’est avec des documents réels. Alors que le vol de Snowden à la NSA était visible et digne d’intérêt au niveau mondial, le rapport Boscom montre à quel point il est facile pour les employés du monde entier de repartir avec des trésors de données sensibles.
À la lumière de ce qui précède, il est facile de comprendre pourquoi les entreprises ont du mal à maintenir la sécurité des données, en particulier lorsque le plus grand risque provient de leurs propres employés et que l’accès des employés aux données est vital non seulement pour leur travail, mais aussi pour le succès de l’entreprise en général. C’est pourquoi la solution de restriction de l’accès aux données, qui est la réponse intuitive, est problématique - elle diminue intrinsèquement la capacité de l’entreprise à fonctionner. Cela signifie-t-il que les entreprises sont confrontées à un problème auquel il n’existe pas de solution ?
Examinons cette énigme à travers un scénario pratique qui est pertinent pour notre industrie : un courtage Forex. Une maison de courtage comporte plusieurs départements, chacun d’entre eux ayant besoin d’accéder à certaines données afin de fonctionner adéquatement. Des représentants commerciaux aux membres de l’équipe marketing (par exemple, les spécialistes du marketing par e-mail), divers aspects des informations sur les clients doivent être visibles par différentes personnes et seul un logiciel adéquat peut assurer le compartimentage. C’est lorsque les employés sont au courant d’informations qu’ils ne devraient pas voir que les plus grandes violations de la sécurité deviennent possibles - c’est pourquoi l’importance de la compartimentation ne peut pas être assez soulignée. C’est la seule façon pour une maison de courtage de protéger les informations contre les menaces potentielles de l’intérieur, sans compromettre la productivité.
Sur le plan technique, les deux outils les plus importants à la disposition d’une maison de courtage sont un bon CRM et un bon cryptage. Le premier permet à la direction de déterminer qui est au courant de quelles données, et le second empêche les personnes non autorisées d’accéder à l’information par l’intermédiaire d’ordinateurs extérieurs à l’entreprise (« pirates informatiques »). Un autre avantage d’un bon cryptage est qu’il empêche les employés malveillants d’envoyer des données confidentielles, car il est inutile sans le décryptage approprié, qu’ils n’ont pas.
Afin de mettre en œuvre au mieux ces contre-mesures, il est important de décider au préalable d’une politique de sécurité des données qui sera soutenue et mise en œuvre par ces moyens. Cela signifie que les mesures techniques sont déterminées par la politique, et non la politique par les moyens disponibles. En plus des mesures techniques employées, la direction doit également définir clairement les règles et règlements internes, tels que l’interdiction des clés USB sur la propriété de l’entreprise, l’interdiction de se connecter avec le nom d’utilisateur d’un autre employé, etc. Bien que cela semble évident, rien n’est évident lorsqu’il s’agit de sécuriser vos données.
Edward Snowden a rendu visible la vulnérabilité des données. Après tout, si la toute-puissante NSA est vulnérable au vol, où en sommes-nous ? Mais dans le contexte du secteur privé, des contre-mesures adéquates réduisent considérablement la vulnérabilité d’une entreprise. En gardant Snowden à l’esprit, il faut également garder à l’esprit l’identité de ceux qui volent des informations et leurs ressources : les agences de renseignement nationales ont plus de ressources qu’une entreprise concurrente, et leurs agents sont prêts à prendre plus de risques pour obtenir des informations. Des gens comme Snowden volent des informations pour des raisons idéologiques, tandis que l’intelligence économique est motivée par l’argent et les profits. Par conséquent, les contre-mesures nécessaires pour dissuader le vol dans le secteur privé sont également plus abordables et plus accessibles.
En fin de compte, nous vivons dans un monde où nos données sont constamment et continuellement menacées, mais il existe également de nombreuses solutions technologiques et procédures opérationnelles standard qui réduisent considérablement ce risque. N’oubliez pas que vous devez être vigilant et anticiper les menaces potentielles, mais n’oubliez pas non plus que même ces menaces, aussi importantes soient-elles, sont également gérables et que le maintien de la sécurité des données ne doit pas se faire au détriment de la productivité et des bénéfices.
