Comment protéger les informations d’une entreprise

Une politique effective pour la gestion des informations

Face aux menaces, une véritable politique de gestion des informations et des données doit se traduire par des mesures de sécurité organisationnelles et comportementales solidement implantées dans l’entreprise. L’objectif est de réduire les risques et leurs impacts éventuels sur tous les actifs critiques de l’entreprise et ce jusqu’à des niveaux acceptables établis sur les trois critères essentiels que sont la confidentialité, l’intégrité et la disponibilité de ces actifs.

A titre d’exemples de mesures judicieuses : établir un diagnostic général comprenant l’identification des risques, des menaces et des vulnérabilités, désigner un responsable de la sûreté et de la sécurité des systèmes d’informations ou encore sensibiliser et former les membres du personnel. On peut aussi encourager la vigilance individuelle comme le réflexe d'informer systématiquement le responsable dès qu'un fait inhabituel ou un incident lié à la sécurité surviennent.

Identifier les informations et les données prioritaires à protéger

Il est impossible de contrôler toutes les sources d’informations et les données d’une entreprise avec la même vigilance. C’est pourquoi, il est nécessaire de déterminer les caractéristiques des informations essentielles, c'est-à-dire critiques pour la vie de l'entreprise.

Il est tout d’abord conseillé d’impliquer l’ensemble des membres du personnel dans la collecte et l’identification des types d’informations et de données traitées. Il faut ensuite attribuer à celles-ci un degré de sensibilité en fonction d’une part, de l’impact de réalisation du risque et d’autre part, de sa fréquence. L’impact est-il d’ordre financier, technique ou humain ? Y-a-t-il une incidence sur l’image/réputation de l’entreprise ou encore sur la confiance des actionnaires ? Qui a accès à l’information et aux données et comment les droits d’accès sont-ils établis ? Comment celles-ci sont-elles communiquées, conservées et échangées ?

Transposer les résultats obtenus dans un tableau tel que celui ci-dessous permet de maîtriser la protection des informations et des données en formulant des propositions permettant de réduire le risque à un niveau acceptable (vert et jaune).

Source : asbl ANPI

Gérer les archives papier et numériques

Les archives, sources d’informations non négligeables, doivent être également protégées à travers des mesures organisationnelles. Etablir une procédure de suivi et de traçabilité des consultations des documents archivés et sensibiliser le personnel à la gestion et à la sécurité des sauvegardes des documents, notamment sur les dangers des supports d’archivages privés, sont des « must-have ».

Il faut aussi logiquement prendre en compte la sécurité de l’infrastructure de l’entreprise : utiliser des locaux adéquats dont l’accès est éventuellement restreint et protégé, prévoir un coffre-fort, une déchiqueteuse selon le degré de sensibilité des données, etc.

Maîtriser la collecte et la communication des informations et des données

Parvenir à garder la maîtrise du recueil des informations et des données ainsi que leur diffusion requiert, sur le plan des ressources humaines, à la fois une structure adéquate et une définition claire des devoirs et des responsabilités des membres du personnel.

Il s’agit par exemple d’identifier des fonctions ou des personnes habilitées à communiquer selon le caractère sensible des informations et des données ou encore d’avertir la hiérarchie lors de contacts avec les médias. La réalisation d’une veille régulière sur les médias et les réseaux sociaux constitue également une mesure permettant de préserver la réputation de l’entreprise.

Maude BIETTLOT

Police fédérale 

Sources :

ANPI, Fire & Security Alert Magazine, numéro 28, pp 26 à 30, sur : https://view.publitas.com/anpi1/fs-alert-028-fr/page/1

https://www.entreprises.gouv.fr/fr/securite-economique/la-securite-economique-28-fiches-thematiques

®https://www.secunews.be/fr