Tweets by TwitterDev " />

Qui s'étonnera de voir sa maison s'effondrer si elle a été construite sur du sable ? - C'est pourtant ce que de nombreuses entreprises font en matière de protection de leur information.  Elles empilent des technologies sans savoir ce qu'elles doivent réellement protéger.

Ce constat désolant peut s'expliquer par deux types de causes: l'environnement externe des organisations et les causes internes. Au chapitre des premières, on peut relever :

  • l'explosion du volume des données traitées rend toujours plus illusoire d'espérer protéger un stock gigantesque d'informations dont on ne sait même plus forcément où elle sont stockées,
  • la mobilité - si chère aux utilisateurs - rend extrêmement flou le périmètre à protéger et, enfin..
  • ...l'augmentation exponentielle des exigences en matière de conformité fait qu'il est devenu quasi impossible de rester à jour dans cette jungle de texte légaux contraintes règlementaires.

Quand aux causes internes, on peut les résumer en une seule phrase: "Business just wants to do business". Pour les responsables de sécurité, impliquer les différentes ligne de business dans un projet de sécurité de l'information est une gageure. Quand à l'option de vouloir le réaliser seul, autant essayer de faire bouillir l'océan...

Les données sont le nouveau pétrole de l'économie digitale 

Aujourd'hui, plus rien (ou presque) ne se fait sans l'informatique. Il appartient donc aux RSI, CISOs, CIOs d'adopter un langage moins technique et plus orienté sur les affaires. Ci-dessous, quelques exemples d'enjeux qui devraient parler aux CEO, CMO et autres CTO ou COO:

La réputation

 

Si votre entreprise est confrontée à une perte massive de données, cela complique sévèrement la marche des affaires. La couverture médiatique qui accompagne ce genre d'incident n'est pas de celle que l'on recherche pour améliorer son image. Et pour peu que l'entreprise gère mal la crise, les dégâts peuvent être très importants et leurs effets se ressentir à long terme.

Les clients

 

Le vol de données n'est pas un crime sans victime. Si votre client estime que l'entreprise porte une certaine responsabilité dans la perte d'information le concernant, il y a de grande chances qu'il se tourne vers la concurrence. Quand on connaît les efforts déployés pour acquérir et conserver un client, je parie que le responsable marketing ou son collègue des ventes pourraient se montrer intéressés à ne pas le voir partir vers d'autres cieux. Des questions telles que : "Protégeons-nous suffisamment les données de cartes de crédit ou identifiants de nos clients?" "Ne collectons-nous (conservons) pas plus d'informations que nous n'en avons réellement besoin ? ou encore: "Est-ce que notre politique de respect de la confidentialité des données est en adéquation avec le comportement réel de nos applications ? A l'heure du client tout puissant (Age of Customer comme disent certains spécialistes du e-marketing), conserver des parts de marché est devenu un enjeu business tout aussi important que d'en acquérir.

La propriété intellectuelle

 

Les entreprises investissent par centaines de milliers -voire millions - de francs pour se prémunir contre les attaques externes, mais s’en remettent à l’espérance ou à la foi quand il s’agit de traiter les menaces internes! J'en veux pour preuve que bien souvent la seule mesure de sécurité visant à protéger les données vis à vis de la fraude interne se résume à une charte ou un règlement d’utilisation des outils informatiques. Nous ne vivons plus dans le monde des Bisounours ! Il y a de la demande pour obtenir des plans, du design ou toute autre propriété intellectuelle et certains employés n'hésitent pas à se servir. 

Data governance

Vouloir tout protéger est devenu illusoire. Renforcer la sécurité de manière uniforme accroît le risque de paralyser la marche de l'entreprise, augmente les coûts et démotive fortement le personnel.

Il est donc nécessaire d'adopter une stratégie ciblée de réduction des risques en limitant le périmètre fortement sécurisé à ce qui est absolument nécessaire. Mais pour ce faire, il faut regagner la visibilité sur ce que constitue véritablement le patrimoine informationnel de l'entreprise. 

La protection de l'information ne peut être "One size fits all" et aucune entreprise souhaitant adresser les défis de sa propre transformation digitale ne pourra faire l'économie d'une réflexion introspective sur ses données et l'usage qu'elle souhaite véritablement en faire. 

Nous serions ravis de vous accompagner et guider vos réflexions.