Aller au contenu

Comment assurer la sécurité de vos données

Avatar de Chris TATHAM
Publié le 8 janvier 2021 Par Chris TATHAM
sécurité numérique

“Ce n’est pas parce qu’il n’y a pas de bruit qu’il n’y a pas de fuite”

Sécuriser les données c’est garantir leur intégrité, leur unicité afin de fournir des outils fiables et exploitables. On parle de référentiels.

La première question à se poser est “où sont mes données maîtresses ?”
Plusieurs bases distinctes peuvent héberger des données identiques. Cependant, chacune des ces bases sera identifiée comme hébergeant des données référentes pour un univers, une utilisation, donnés. Par exemple :

  • la liste du personnel, garantie par le logiciel des Ressources Humaines, est référente pour tout ce qui concerne les instances administratives,
  • alors que la liste des utilisateurs contenue dans l’annuaire d’entreprise, qui peut contenir peu ou prou les mêmes données, a plutôt une autorité sur les droits d’accès au système d’information (ex.: LDAP).

Les données que l’on pourrait qualifier de « périphériques », autres que « référentes », ne sont pas systématiquement des données « illégitimes ».

Cependant il est nécessaire de prendre conscience de cette répartition pour assurer la protection des données informatiques.

Le plus souvent ceci fait référence aux données transitant via des interfaces pour alimenter d’autres serveurs. Si nous reprenons notre exemple de l’annuaire d’entreprise, celui-ci peut être alimenté par le serveur RH tout en disposant de comptes pour des prestataires.
Ainsi les “données salariés” ne doivent être modifiées que sur le serveur RH sous peine d’être écrasées lors de la prochaine synchronisation de la masse salariale.

Les data warehouses sont souvent évoquées lorsque l’on commence à parler “big data”. Il s’agit d’un volume de données conséquent, les logiciels tels que les ETL (Extract, Tranform, Load) exploitent des données calculées stockées. En effet, ceci favorisera les temps d’exécution et gèlera des univers de données.
Ces logiciels fournissent notamment de bonnes solutions pour des tableaux de bord décisionnels.

Le plus simple à imaginer serait le stockage de factures comportant des données “figées” tel que l’adresse, même si le client déménage ou que le prix du produit en a changé depuis l’acte d’achat.

Même si des outils comme Excel ne doivent en aucun cas se substituer à des bases de données, ils sont pratiques, intuitifs et rapides pour des traitements ponctuels qui devraient rester des outils « individuels ».

La notion de protection des données dépassent le “simple” besoin de fiabilité des données puisque l’entreprise est responsable des données personnelles (cf. le RGPD)
Bien entendu, l’aspect de confidentialité stratégique est primordial pour la viabilité de l’activité commerciale.
La sécurité informatique, au sens strict, pourrait se résumer à parer aux accès illicites au système d’information informatisé.
Il faut donc limiter les droits des utilisateurs à leur strict nécessaire afin de limiter l’accès aux données en cas d’intrusion.

code source

Sans rentrer dans la technique nous pouvons citer les problèmes d’injection de code, de Cross Scripting ou XSS.
Il s’agit de failles potentiellement présentes dans les formulaires lors de la prise en charge des données par le code de l’application.

hacker

Le DDoS ou déni de service vise à surcharger les serveurs jusqu’à ne plus pouvoir “répondre” et ainsi ouvrir des portes initialement sécurisées par ces scripts.

On parle souvent en plaisantant que le problème se situe plus entre la chaise et le clavier, qu’au niveau du logiciel.

Le fait est que les raisons facilitant le piratage sont :

pebcak
  • Mots de passe faibles
    Le plus souvent le  services informatiques impose des mots de passes à complexité minimum avec des obligation de changement de ceux-ci sur des cycles définis. Mais toutes les entreprises ne disposent pas de telles compétences et moyens internes.
  • Des mots de passe stockés de façon non-sécurisée
    Quand on ne dispose pas de coffre-fort numériques, la création de mots de passe complexes et uniques suppose une bonne gestion avec un coffre fort numérique … sinon on cède à la tentation de “cacher” son mot de passe sur un Post-It sous le clavier.
  • L’utilisation des mails pour faire du Phishing ou du Scaming
    Ces procédés sont courants et encore efficaces bien qu’existant depuis longtemps. On peut imaginer être en possession du nom d’un grand patron et de sommer par email, avec beaucoup d’aplomb, une comptable d’effectuer un virement sur le compte untel en lui expliquant l’objet ne la concerne pas.
  • Shadow IT
    Celui-ci est certainement le plus insidieux, puisque des données passent d’Excel à Word puis par mail ou clef usb sortent de l’entreprise. Elles sont donc soumises à la seule vigilance des salariés. Il s’agit de données non maîtrisées par le service informatique ou à défaut l’entreprise. Le projet de transition numérique peut donc se concentrer sur l’identification de ce shadowIT.

A défaut de données exploitées par un tiers, si celui-ci est silencieux, c’est d’avoir une perte de confiance dans l’ERP avec lequel l’entreprise fonctionne … parce que les données ne sont pas fiables voire compromises.

Ceci peut bien entendu être un enjeu majeur pour les entreprises en ouvrant la discussion sur les points suivants pour organiser son projet informatique pour réussir sa transition numérique :

  • Des données dupliquées
  • Des données obsolètes
  • La maintenabilité du système d’information mise en risque
  • Des vols de données
  • Des données sont corrompues
  • Des risques juridiques et financiers

D’autres articles de la même catégorie