Alors que les données sont une richesse indéniable pour toutes les entreprises, le Règlement Général sur la Protection des Données (RGPD) nous rappelle qu’elles sont à manier avec précaution, dans le respect du droit individuel. Comme toute richesse, les données sont convoitées et leur vol, de plus en plus fréquent, est préjudiciable à plus d’un titre. Petit récapitulatif du top 5 des plus gros risques…
Le risque légal
Sur les 195 pays recensés dans le monde, 137 appliquent une législation sur la protection des données et de la vie privée.
Les entreprises qui ne respectent pas la loi s’exposent à des sanctions : amendes ou condamnation, parfois à des peines de prison avec ou sans sursis pour le dirigeant. Par exemple, un grand groupe hôtelier a été condamné par la CNIL à une amende de 600 000 euros pour prospection commerciale sans le consentement des personnes concernées et pour ne pas avoir respecté le droit des clients et des prospects.
Mieux vaut donc connaître les exigences légales.
La prochaine obligation légale est 2024 avec l’obligation de la facture électronique.
Pour prévenir ces risques légaux, il est conseillé d’adopter une approche globale et s’aligner sur la stratégie de l’entreprise comme la diversification de ses activités ou l’installation dans de nouveaux pays, qui implique de se certifier sur tel ou tel standard, pour raison légale, mais aussi parce que ça constitue un avantage concurrentiel.
Une veille réglementaire et normative permet d’anticiper les évolutions.
Ces réglementations et normes doivent être déclinées en petits morceaux digestibles par les équipes pour les transformer en procédures opérationnelles et processus implémentables.
Une fois les mécanismes mis en place, il est nécessaire de se faire certifier et de vérifier la conformité par des audits internes et externes. Ces audits peuvent révéler des failles qu’il faudra traiter par des actions préventives et curatives.
Le risque réputationnel
Une réputation peut être écornée par un scandale, des campagnes de rappel de produits, de mauvais avis sur les réseaux sociaux, mais aussi par une fuite de données. Ce fut le cas pour une célèbre enseigne de magasins de sport dont 10% des effectifs ont été touchés l’année dernière par la divulgation sur Internet de données personnelles, et pour la référence en matière de chauffeurs VTC dont une faille a touché les données de 57 millions de personnes, chauffeurs et clients.
Il faut éviter les fuites de données de l’intérieur vers l’extérieur dues à des collaborateurs indélicats ou à des erreurs humaines, et les cyberattaques, des personnes extérieures essayant de rentrer à l’intérieur du système d’information de l’entreprise.
Il faut s’assurer que les éléments de l’infrastructure IT sont bien configurés et mis à jour régulièrement, que ce soient les routeurs, les commutateurs, les espaces de stockage, les serveurs ou les systèmes d’exploitation.
Un système IDS (Intrusion Detecion System) permet de détecter les intrusions, pour ne pas s’en rendre compte trop tard, alors que les pirates auraient accumulé les données pendant des mois ou des années.
On peut aussi mettre en place des systèmes de contre-attaque afin de lutter contre les attaques DDoS, qui visent à saturer les serveurs avec de nombreuses requêtes. Et bien sûr, il faut se méfier des malwares qui se cachent dans des emails.
Une politique de droits d’accès adaptée, ni trop rigide, ni trop laxiste, basée sur les métadonnées, est plus dynamique que la définition par groupes.
Les fonctions Data Link Prevention permettent de limiter les risques de fuites de données.
Pour encadrer les échanges avec l’externe, la meilleure réponse est d’utiliser un portail collaboratif sécurisé. Il évite d’utiliser des applications en ligne non validées par le département informatique, ce qu’on appelle le shadow IT.
Le risque de perte de productivité / compétitivité
La dispersion de l’information et les mauvaises habitudes de travail nuisent à la productivité. En conséquence, la recherche d’information devient chronophage.
À moins 6 systèmes, comptes ou applications seraient utilisés par les collaborateurs chaque jour, générant de nombreux copier-coller. De même, la boîte mail serait consultée 10 fois par heure.
La mauvaise gestion de l’information augmente le niveau de stress de la moitié des collaborateurs. Elle agit pour près d’un quart sur la satisfaction professionnelle globale, pour un tiers sur l’équilibre vie privée-vie pro.
Les problèmes de productivité peuvent se transformer en problèmes de Ressources Humaines.
Le taux d’absentéisme en France a augmenté de 37% entre 2017 et 2021 et de 54% en 5 ans chez les jeunes.
Il faut des outils simples à utiliser et faciliter la recherche d’information. La manière de rechercher l’information d’un comptable ne sera pas la même que pour quelqu’un du service informatique ou du marketing donc il ne faut pas imposer un classement unique, mais multiplier les angles de classement, sans aucune duplication de l’information.
Pour éviter tout manquement, il convient d’utiliser des rappels et des workflows.
L’idéal est de donner une vision à 360° des informations, avec une seule interface.
L’intégration avec des outils Office et l’interfaçage avec des outils tels que SharePoint sont très importants, car ils permettent de remonter la puissance de l’outil de gestion de l’information dans ces solutions. Ça évite de passer d’une interface à une autre, de perdre du temps, d’être déboussolé et donc les erreurs.
Pour finir, il est important de mesurer la bonne adoption des solutions de gestion de l’information, et s’assurer que le taux d’adoption soit optimal.
Le risque humain
Le risque humain comprend les négligences et les malveillances.
Que ce soit une clé USB professionnelle perdue dans le domaine public, ou l’ouverture d’un email frauduleux, l’erreur humaine est toujours possible malgré les protections informatiques.
Le télétravail accentue le risque avec les mots de passe faciles, le partage de fichier, l’hameçonnage, et le piratage.
Un autre risque est la perte de connaissance lorsqu’un collaborateur quitte l’entreprise, d’où l’intérêt de mettre en place des workflows collaboratifs.
Une politique d’attribution des droits d’accès permet d’éviter la perte quand une personne quitte l’entreprise. Un bon parcours d’intégration des collaborateurs peut permettre d’éviter les erreurs humaines.
Il est nécessaire d’avoir une bonne visibilité sur ce qu’il s’est passé quand il y a une fuite de données pour voir où est la faille.
Les entreprises ne se rendent pas compte à quel point il faut conserver le savoir-faire, les réponses à appel d’offres par exemple peuvent inspirer pour de futurs appels et être reprises lors de la réalisation du projet. Cela se fait en mettant en relation les documents les uns avec les autres : cela constitue un graphe informationnel.
Le risque technique
Les entreprises ont chacune leur héritage technologie, avec des systèmes lourds et anciens, coûteux à maintenir et à gérer, qui n’évoluent plus, mais qu’elles n’abandonnent pas et auxquelles elles ajoutent des solutions SaaS pour former au final un mille-feuille technologique causant un éparpillement des données contre lequel elles essaient ensuite de lutter.
Pour éviter que la technique nuise au bon déroulement de l’activité, mieux vaut éviter de multiplier les systèmes, car chacun ramène son lot de risques spécifiques, éviter la rupture de service en garantissant la haute disponibilité, qui passe par la redondance, anticiper la continuité d’activité (PCA) et la reprise d’activité (PRA). En cas de rupture Internet dans les bureaux, il faut avoir prévu une bascule en télétravail par exemple.
Sur la durée, il faut vérifier que l’IT est scalable et s’adaptera à la montée en puissance, garantir une certaine réversibilité avec des données extractibles, dans un format clair, non chiffrées, afin qu’elles soient lisibles.
Par Malo Jennequin, Directeur Avant-Vente et Solutions chez M-Files
