2. Dressez un état des lieux

Pour comprendre comment protéger au mieux les données de l'entreprise, un audit des données est nécessaire. Ce dernier doit répondre à différentes questions: Quelles bases de données sont disponibles et quel type de données recèlent-elles? À quel endroit ces bases sont-elles stockées, dans l'entreprise, dans un cloud distant? En France? À l'étranger? Qui a accès à ces données clients? S'agit-il de salariés de l'entreprise, des prestataires? Sont-ils en France?...

"Les réponses à ces questions impliquent des contraintes sécuritaires, mais également des contraintes réglementaires", explique Jérôme Granger, responsable de la communication pour G Data Software, spécialisée dans le développement de logiciels antivirus.

Pour Jérôme Robert, chief marketing officer pour Lexsi, cabinet réalisant des audits de sécurité, "il est souvent judicieux de se faire accompagner par des experts extérieurs à l'entreprise, car l'analyse du risque prend davantage de distance par rapport aux enjeux métier". Ce regard extérieur, qui permet de mesurer les forces et les faiblesses du système d'information, ne se cantonne pas à vérifier les dispositifs en place pour protéger les données. "Il faut tout faire entrer en ligne de compte car la menace vient de partout et à tout moment", confie Jérôme Robert.

Si un tel audit peut coûter environ 3 000 € HT pour une PME, certains projets peuvent dépasser les 100 000 € dans les cas les plus ambitieux. "L'essentiel consiste à admettre que ces audits doivent avoir lieu une fois par an, indique Jérôme Robert. Mais au-delà de la récurrence, les conclusions de l'audit doivent être suivies d'effet ! Car trop souvent, malgré nos rapports, nous retrouvons les mêmes lacunes d'une année sur l'autre."

3. Acceptez que la menace vienne (aussi) de l'intérieur

Le constat de Denis Gadonnet, directeur Europe du Sud pour Hexis Cyber solutions est clair : "Si les attaques liées au spam, au phishing, aux virus se multiplient, le principal vecteur de l'attaque, c'est bien l'utilisateur !" Il faut donc évangéliser les collaborateurs afin qu'ils adaptent leurs usages aux enjeux sécuritaires.

Pour l'expert, la formation ne suffit pas toujours, il faut parfois accepter des méthodes plus coercitives "en contrôlant, par exemple, les possibilités de navigation sur Internet au sein de l'entreprise". Le BYOD (Bring Your Own Device) et l'iOT (Internet of things) compliquent encore la tâche car ces deux tendances de fond, associées à la mobilité croissante des collaborateurs, multiplient les points d'entrée sur le système d'information et constituent autant de failles potentielles.

"Il ne faut pas tout miser sur les solutions technologiques."

La réponse, selon Jérôme Robert, c'est l'identity access management. "En créant des comptes utilisateurs auxquels sont donnés des privilèges d'accès, il est possible d'abord de contrôler l'accès au système d'information mais aussi d'assurer la traçabilité des opérations", explique le spécialiste. Ainsi, en cas de vol ou de compromission des données, il est possible de remonter à la source du problème et d'y apporter, dans les délais les plus brefs, une réponse adaptée. "Il ne faut pas tout miser sur les solutions technologiques, précise Jérôme Robert. Il ne sert à rien de poser une porte blindée si vous laissez les fenêtres ouvertes à l'étage ! Faites en sorte que les collaborateurs aient des comportements appropriés et vous vous préserverez déjà des menaces les plus courantes..."

La mise en place de restrictions au niveau des postes clients est nécessaire. Le blocage des ports USB, des partages cloud (dropbox et autres) et des lecteurs/graveurs de CD peut paraître extrême, mais il permet d'éviter autant que possible qu'un employé malhonnête n'exfiltre pas des données clients de l'entreprise.