Protéger les documents sensibles en entreprise implique tout d’abord de les identifier, puis de déployer des mesures ciblées et proportionnées dans un cadre organisationnel adapté.
Définir les actifs primordiaux
Les documents sensibles en entreprise doivent être protéger. Les dangers sont nombreux à ne pas le faire : pertes financières, atteinte de son image, fuite de secrets industriels, etc. Pour autant, le risque zéro n’existe pas et la protection a un coût, rappelle Rayna Stamboliyska, experte en gestion des risques et stratégie. « Il est impossible de tout protéger avec la même rigueur. L’entreprise doit impérativement définir en amont quels sont ses “joyaux de la couronne”. Se demander quels sont les actifs primordiaux qui définissent sa valeur », explique la fondatrice de RS Strategy.
Identifier les documents
Il peut s’agir de contrats d’exclusivité, de secrets de fabrication, de projets de développement ou de tout autre document sensibles pour l’entreprise en question. Et ce, pour son activité présente et future. Ensuite, il importe de connaître sur quels supports ils se trouvent (ordinateurs, sites internet, serveurs, etc.). Enfin, ils s’agit de lister qui a accès à ces « actifs supports ».
L’objectif est de rendre les coûts d’accès suffisamment élevés pour décourager un acteur ayant des intentions malfaisantes.
Cerner les menaces
Troisièmement, « établir les scénarios redoutés est essentiel. Il s’agit de les classer en fonction de leur sévérité d’impact pour l’entreprise, et les personnes ou les entités qui pourraient en être à l’origine doivent être identifiées», poursuit Rayna Stamboliyska. Cette phase permet de bien cerner les menaces qui pèsent sur la société. Et, ainsi, mieux cibler les mesures de protection à mettre en œuvre. Par exemple, les États étrangers hostiles ciblent assez peu d’entreprises.
Décourager les attaquants
Une stratégie de gestion des risques et de protection précise et proportionnée est ensuite déployée. « L’objectif est de rendre les coûts d’accès suffisamment élevés pour décourager un acteur ayant des intentions malfaisantes », souligne l’experte. Les outils peuvent être organisationnels (politique de sécurité de l’information), technologiques (logiciels de cybersécurité, gestionnaires de mots de passe, identification double voire triple, limitation des droits d’administration…) ou physiques (accès restreint à certaines zones de l’entreprise, caméras…).
Sensibiliser, former et diffuser les bonnes pratiques
Attention toutefois à ne pas simplement accumuler les instruments. « Sans soutien organisationnel, les outils n’auront pas beaucoup d’effets, prévient Rayna Stamboliyska. Il est important que les personnes en charge de la sécurité soient identifiées comme telles. L’organisation doit les soutenir et les doter d’un budget leur permettant de mener à bien leurs missions. » Le facteur humain est généralement le plus délicat à gérer. Des opérations de sensibilisation et des formations pour les collaborateurs sont nécessaires. Cela permet la diffusion des bonnes pratiques en matière de sécurité et de gestion des documents sensibles en entreprise.
Un travail progressif
« Je préfère parler de changement de culture ou d’acculturation pour souligner la difficulté d’influer sur les comportements de l’ensemble des collaborateurs », souligne Rayna Stamboliyska. Les dirigeants ne doivent donc pas négliger cet enjeu. Par ailleurs, les comportements ne se modifient pas du jour au lendemain mais progressivement. Le changement s’étale dans le temps et les acteurs doivent prendre en compte cet aspect. « La sécurité est un processus, pas un résultat », conclut l’experte.
