La sécurité n’est pas une vérité absolue

Nadim Baklouti, directeur R&D Leading Boards chez Equity, commente ce passage au tout digital. Offrant une expertise notamment pour les Conseils d’Administration, donc des clients nécessitant un niveau de sécurité stratégique très élevé, Equity évalue la confidentialité des données au regard de cette réalité numérique.

La sécurité « c’est la manière de minimiser au maximum un risque, c’est un état d’esprit dans lequel l’entreprise se sent confiante et à l’abri du danger ».

On peut concevoir la sécurité comme un processus continu d’évaluation et d’adaptation pour réduire les risques. Mais comment répondre aux enjeux de sécurité et garantir la confidentialité à l’ère du numérique ?

Une sécurité à  « 3 visages »

La sécurité légale est le premier niveau, c’est une sécurité contractuelle, avec des engagements vis-à-vis du Patriot Act dès qu’on évoque le Cloud, le Big Data, et les solutions externalisées.

La sécurité anti-intrusion est le cœur de la sécurité informatique avec les systèmes de détection et de protection, les audits réguliers et la compréhension de techniques malveillantes.

Enfin, dernier niveau, la sécurité des processus ou du facteur humain, essentielle, car  « la plus grosse faille de sécurité se situe avec l’utilisateur lui-même » souligne Nadim Baklouti.

Toutefois, imposer des systèmes de sécurité excessifs, restrictifs et pénibles provoquera un effet inverse, et conduira inévitablement à des moyens de contournement. La formation, la sensibilisation, le pragmatisme et la prise de conscience sont donc de mise.

Quelles solutions pour assurer  la confidentialité ?

Tout dépend évidemment du type d’information et de l’entreprise.

Si les entreprises se tournent souvent vers des solutions ‘maison’, sécurisées pour avoir le contrôle de A à Z, aujourd’hui, elles se rendent compte que la sécurité est un métier qui implique une veille quotidienne, des compétences très pointues, et des investissements parfois difficiles à justifier par rapport à l’utilisation finale.

La sous-traitance auprès d’entreprises expertes pour disposer d’un niveau de services et de sécurité bien plus élevé et éviter un investissement considérable est une solution.

Les entreprises prennent conscience de la mutualisation, « des entreprises tierces offrent ainsi des logiciels métiers avec des fonctionnalités plus poussées et adaptées aux besoins du client.

On passe du logiciel propriétaire sur-mesure au SaaS, services mutualisés, les plates-formes ne sont plus sous le contrôle du client qui devient utilisateur » commente Nadim Baklouti.

Sécurité et Patriot Act

Alors qu’en est-il côté sécurité lors de l’utilisation de services américains pour gérer par exemple la relation client, les ventes ?

Le Patriot Act n’est jamais loin. Dépendamment de l’entreprise, du métier, du service recherché, ce facteur est à prendre en compte et est plus ou moins acceptable selon les entreprises.

Le risque doit être évalué et calculé par le RSSI ou l’IT en fonction du cahier des charges interne, « aujourd’hui, la majorité des RSSI des grands groupes sont conscients des enjeux du Patriot Act et des risques qu’il implique » ajoute Nadim Baklouti.

Mais, revenons sur l’importance de la « chaîne du froid » ? Nadim Baklouti précise cette notion, « il faut faire la différence entre le fournisseur français utilisant des serveurs en France et l’hébergeur, qui possède les datacenters en France, mais avec un actionnaire principal américain, là, il y a un potentiel risque.

Il faut donc garantir impérativement une chaîne du froid sans faille et ne pas laisser entrer le Patriot Act dans le processus au niveau stockage, utilisation ou consultation des données ».

De l’évaluation du niveau de criticité des données, au suivi du trajet des données, on doit s’assurer de la sécurisation de bout en bout. Avoir une réponse adaptée aux enjeux, tel est l’objectif.

Dématérialiser pour sécuriser

Le fait de passer au numérique est souvent perçu comme plus dangereux, au contraire, « la réalité est inverse ».

Le simple fait de dématérialiser apporte un niveau de sécurité jamais égalé avant.
« Qui dit solutions numériques, dit mise en place de contrôles de sécurité et interdiction par exemple de consultation de documents par tous, dit également traçabilité et suivi, alors que ces process sécuritaires sont inexistants dans un cadre non-dématérialisé, typiquement du papier ! » conclut Nadim Baklouti. Sans dématérialisation, les entreprises s’exposent de facto beaucoup plus…