De plus en plus d’informations transitent ou sont stockées sur les systèmes d’information. Il est donc indispensable de veiller à les protéger, surtout lorsque ce sont des données sensibles qui présentent un caractère stratégique.
A l’exception de certaines TPE, rares sont les entreprises à ne pas avoir recours à l’informatique dans la gestion de leur activité. « Comptabilité, facturation, gestion des stocks, fichiers clients et fournisseurs… Dans de nombreuses sociétés, le stockage et la circulation des données se font par le biais du système d’information », constate Philippe Cohen, commissaire aux comptes du cabinet Alexma Audit. Dans ce cas, la sécurisation des données sensibles constitue un élément vital, certaines d’entre elles devant être encore plus protégées que d’autres. « Pour réaliser un audit, il est possible de faire appel à son commissaire aux comptes, celui-ci travaillant sur l’ensemble des risques de l’entreprise, dont celui du système d’information », explique Philippe Cohen.
Des données sensibles spécifiques à chaque secteur d’activité
Toutes les données n’ont pas le même degré de sensibilité et il n’est pas nécessaire de protéger les informations à caractère public ou obsolètes. Mieux vaut se focaliser sur celles qui doivent bénéficier d’une attention particulière. Toutes les informations concernant les salariés, par exemple, entrent dans cette catégorie. Mais ce ne sont pas les seules, d’autres dépendent plus spécifiquement du secteur d’activité. Pour une société en pointe dans la recherche et développement, la protection des éléments liés à l’innovation, comme les plans, dessins et brevets, est de rigueur. Dans une agence de développement Web, en compétition avec des concurrents sur des appels d’offres, c’est l’accès au contenu des propositions qui doit être sécurisé. Dans un cabinet d’infirmière libérale, ce sera l’ensemble des informations sur les clients et, chez un artisan, tous les éléments liés au savoir-faire technique. Bref, à étudier de près au cas par cas.
Une charte de bonnes pratiques et un contrôle interne
Première protection de ces données sensibles ? La prévention des risques. L’humain étant le maillon faible, il est indispensable de définir des bonnes pratiques et des procédures précises, et de s’assurer qu’elles sont correctement appliquées dans l’entreprise. Tout aussi recommandé, la mise en place d’un plan de reprise de l’activité, dans le cas où il serait porté atteinte à l’intégrité des données, suite à un incendie ou à un acte de cybercriminalité. Son objectif ? Permettre à l’activité de repartir dans les plus brefs délais. Enfin, autre impératif, la mise en place d’un contrôle interne, permettant par exemple d’éviter de multiplier les accès « orphelins » au système d’information. « En particulier ceux des personnes ayant quitté l’entreprise, que l’on oublie souvent de désactiver », précise Philippe Cohen. Quant à la sauvegarde, elle peut être faite de différentes manières : sauvegarde quotidienne et hebdomadaire, voire en temps réel. Le cloud constitue une solution simple et efficace, et notamment le cloud « hybrique », permettant de sauvegarder et partager simultanément et automatiquement les données sur les serveurs de l’entreprise et sur un cloud. Autre option : le coffre-fort électronique, une solution de stockage permettant de placer ses documents les plus sensibles sous haute protection.
