“Ce n’est pas parce qu’il n’y a pas de bruit qu’il n’y a pas de fuite”
Sommaire
-
Savez-vous quelles sont vos données informatiques ?
-
Où sont stockées vos données informatiques ? Comment les sécuriser ?
- Les référentiels sont les garants des données du système d'information
- Les données dupliquées sont utilisées pour être exploitées sans impacter le référentiel
- Les données calculées - stockées et le besoin de tableaux de bord décisionnels
- Les données gelées sont souvent utilisées pour remplir une obligation légale
- Les données exportées et l'utilisation individuelles qui en est faite
-
Où sont stockées vos données informatiques ? Comment les sécuriser ?
- Comment trouver les failles de sécurité ? 3 dimensions pour protéger votre entreprise
- Comment mettre en place un projet de transition numérique pour couvrir les risques de sécurité informatique ?
Sécuriser les données c’est garantir leur intégrité, leur unicité afin de fournir des outils fiables et exploitables. On parle de référentiels.
La première question à se poser est “où sont mes données maîtresses ?”
Plusieurs bases distinctes peuvent héberger des données identiques. Cependant, chacune des ces bases sera identifiée comme hébergeant des données référentes pour un univers, une utilisation, donnés. Par exemple :
- la liste du personnel, garantie par le logiciel des Ressources Humaines, est référente pour tout ce qui concerne les instances administratives,
- alors que la liste des utilisateurs contenue dans l’annuaire d’entreprise, qui peut contenir peu ou prou les mêmes données, a plutôt une autorité sur les droits d’accès au système d’information (ex.: LDAP).
Les données que l’on pourrait qualifier de « périphériques », autres que « référentes », ne sont pas systématiquement des données « illégitimes ».
Cependant il est nécessaire de prendre conscience de cette répartition pour assurer la protection des données informatiques.
Le plus souvent ceci fait référence aux données transitant via des interfaces pour alimenter d’autres serveurs. Si nous reprenons notre exemple de l’annuaire d’entreprise, celui-ci peut être alimenté par le serveur RH tout en disposant de comptes pour des prestataires.
Ainsi les “données salariés” ne doivent être modifiées que sur le serveur RH sous peine d’être écrasées lors de la prochaine synchronisation de la masse salariale.
Les data warehouses sont souvent évoquées lorsque l’on commence à parler “big data”. Il s’agit d’un volume de données conséquent, les logiciels tels que les ETL (Extract, Tranform, Load) exploitent des données calculées stockées. En effet, ceci favorisera les temps d’exécution et gèlera des univers de données.
Ces logiciels fournissent notamment de bonnes solutions pour des tableaux de bord décisionnels.
Le plus simple à imaginer serait le stockage de factures comportant des données “figées” tel que l’adresse, même si le client déménage ou que le prix du produit en a changé depuis l’acte d’achat.
Même si des outils comme Excel ne doivent en aucun cas se substituer à des bases de données, ils sont pratiques, intuitifs et rapides pour des traitements ponctuels qui devraient rester des outils « individuels ».
La notion de protection des données dépassent le “simple” besoin de fiabilité des données puisque l’entreprise est responsable des données personnelles (cf. le RGPD)
Bien entendu, l’aspect de confidentialité stratégique est primordial pour la viabilité de l’activité commerciale.
La sécurité informatique, au sens strict, pourrait se résumer à parer aux accès illicites au système d’information informatisé.
Il faut donc limiter les droits des utilisateurs à leur strict nécessaire afin de limiter l’accès aux données en cas d’intrusion.
Sans rentrer dans la technique nous pouvons citer les problèmes d’injection de code, de Cross Scripting ou XSS.
Il s’agit de failles potentiellement présentes dans les formulaires lors de la prise en charge des données par le code de l’application.
Le DDoS ou déni de service vise à surcharger les serveurs jusqu’à ne plus pouvoir “répondre” et ainsi ouvrir des portes initialement sécurisées par ces scripts.
On parle souvent en plaisantant que le problème se situe plus entre la chaise et le clavier, qu’au niveau du logiciel.
Le fait est que les raisons facilitant le piratage sont :
- Mots de passe faibles
Le plus souvent le services informatiques impose des mots de passes à complexité minimum avec des obligation de changement de ceux-ci sur des cycles définis. Mais toutes les entreprises ne disposent pas de telles compétences et moyens internes. - Des mots de passe stockés de façon non-sécurisée
Quand on ne dispose pas de coffre-fort numériques, la création de mots de passe complexes et uniques suppose une bonne gestion avec un coffre fort numérique … sinon on cède à la tentation de “cacher” son mot de passe sur un Post-It sous le clavier.
- L’utilisation des mails pour faire du Phishing ou du Scaming
Ces procédés sont courants et encore efficaces bien qu’existant depuis longtemps. On peut imaginer être en possession du nom d’un grand patron et de sommer par email, avec beaucoup d’aplomb, une comptable d’effectuer un virement sur le compte untel en lui expliquant l’objet ne la concerne pas.
- Shadow IT
Celui-ci est certainement le plus insidieux, puisque des données passent d’Excel à Word puis par mail ou clef usb sortent de l’entreprise. Elles sont donc soumises à la seule vigilance des salariés. Il s’agit de données non maîtrisées par le service informatique ou à défaut l’entreprise. Le projet de transition numérique peut donc se concentrer sur l’identification de ce shadowIT.
A défaut de données exploitées par un tiers, si celui-ci est silencieux, c’est d’avoir une perte de confiance dans l’ERP avec lequel l’entreprise fonctionne … parce que les données ne sont pas fiables voire compromises.
Ceci peut bien entendu être un enjeu majeur pour les entreprises en ouvrant la discussion sur les points suivants pour organiser son projet informatique pour réussir sa transition numérique :
- Des données dupliquées
- Des données obsolètes
- La maintenabilité du système d’information mise en risque
- Des vols de données
- Des données sont corrompues
- Des risques juridiques et financiers