Toutes les entreprises possèdent des données stratégiques : données caractéristiques ou techniques d’un produit, informations à propos du lancement d’un nouveau produit ou service, positionnement de l’entreprise, bases de données clients, informations sur les salariés, etc.
Toutes ces informations sont vitales pour la pérennité de l’entreprise, d’où la nécessité de les protéger. Afin de prendre les mesures qui s’imposent, il est important d’évaluer la sensibilité des données de votre entreprise en prenant en compte leur importance stratégique et l’impact sur le fonctionnement et l’image de votre entreprise en cas de vol, de fuite ou de fraude. Aujourd’hui, avec la dématérialisation des données et le stockage externalisé, la cybercriminalité ne cesse d’augmenter, laissant les données des entreprises de plus en plus vulnérables.
Pour mieux protéger vos informations, vous devez commencer par déterminer leur importance stratégique.
Etes-vous un opérateur d’importance vitale ?
Certains secteurs d’activité génèrent, traitent et stockent des données sensibles, confidentielles, voire critiques qui, si elles sont victimes d’un acte de malveillance (terrorisme, sabotage, cyberattaque), peuvent avoir de graves conséquences sur la défense et la sécurité de tout le pays et de ses citoyens.
C’est le cas des opérateurs d’importance vitale (OIV). Selon les articles R. 1332-1 et R. 1332-2 du code de la défense, ces organismes publics ou privés sont vitaux pour le fonctionnement et la survie de la Nation pour deux raisons :
- soit ils produisent et distribuent des biens ou des services indispensables :
- à la satisfaction des besoins essentiels pour la vie des populations,
- à l’exercice de l’autorité de l’État,
- au fonctionnement de l’économie,
- au maintien du potentiel de défense,
- ou à la sécurité de la Nation ;
- soit ils présentent un danger grave pour la population.
Ainsi, le dommage, l’indisponibilité ou la destruction de ces organismes nuirait gravement au fonctionnement, à la sécurité, à la défense ou à la capacité de survie de la Nation, ou pourrait porter atteinte à la santé ou à la vie des citoyens français.
Il existe 249 OIV dont la liste est gardée confidentielle pour des raisons de sécurité nationale. Ceux-ci sont répartis dans douze secteurs d’activité : les activités civiles, militaires et judiciaires de l’Etat, la santé, la gestion de l’eau, l’alimentation, l’énergie, les finances, les transports, les communications électroniques, l’audiovisuel et l’information, l’industrie, l’espace et la recherche.
Du fait de leur statut particulier, les OIV doivent répondre à plusieurs obligations en matière de sécurité informatique :
- désigner un délégué pour la défense et la sécurité ;
- rédiger un plan de sécurité d’opérateur (PSO) qui décrit l’organisation et la politique de sécurité de l’opérateur ;
- rédiger un plan particulier de protection (PPP) pour chacun des points d’importance vitale identifiés.
Si votre entreprise fait partie des OIV, vous en avez été informé par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Vous devez alors mettre en place des mesures spécifiques strictes pour protéger vos données stratégiques.
Pour en savoir plus sur la sécurité des activités d’importance vitale, consultez la brochure du secrétariat général de la défense et de la sécurité nationale (SGDSN).
Comment déterminer l’importance stratégique de vos données ?
Quel que soit votre secteur d’activité, votre entreprise recueille et traite au quotidien une large quantité de données plus ou moins vitales. Les données stratégiques de l’entreprise sont cruciales et indispensables à son fonctionnement, à sa pérennité et à sa sécurité car elles lui permettent d’atteindre un objectif (accroître son chiffre d’affaires, augmenter la fidélité des clients, développer un nouveau produit, etc.).
Ces données stratégiques appartiennent à différentes catégories :
- les données industrielles qui regroupent des savoir-faire, des brevets, la composition ou le processus de fabrication d’un produit, le développement d’une innovation, etc. ;
- les données économiques comme le taux de marge de l’entreprise, le prix d’achat des matières premières, le plan de rachat d’une entreprise concurrente, etc. ;
- les données financières qui rassemblent les moyens de paiement des clients, des informations bancaires diverses, les fiches de paie des employés, etc. ;
- les données commerciales comme les contrats avec les fournisseurs, la liste des clients, la politique de prix, la stratégie marketing, etc. ;
- les données personnelles des salariés, des clients et des prospects, voire des fournisseurs et partenaires qui vont du numéro de sécurité sociale à l’adresse du domicile en passant par le numéro de passeport, mais aussi l’origine raciale ou ethnique, les données médicales, l’appartenance syndicale, etc.
Toutes ces données sont stratégiques pour l’entreprise car, correctement utilisées, elles vont lui permettre d’être efficace, performante et concurrentielle sur son marché.
Par exemple, les données récoltées sur les comportements de consommation et d’achat des clients et des prospects sont indispensables au service marketing pour élaborer des stratégies permettant de séduire les consommateurs afin qu’ils passent à l’acte d’achat, mais aussi de mieux satisfaire les clients et de les fidéliser. Quant aux données industrielles, elles permettent à l’entreprise de créer de nouveaux produits innovants et ainsi de se démarquer de ses concurrents.
Classez vos données pour mieux les protéger
Afin de protéger au mieux vos données stratégiques, il est indispensable de les classer en fonction de leur valeur et de leur importance stratégique. Pour vous aider, déterminez quelles seraient les conséquences si un document confidentiel venait à être divulgué.
Voici un système de classification à quatre niveaux :
- NC – Non Classifié: ce terme désigne les informations pouvant circuler librement au sein d’une organisation et qui ne nécessitent aucune protection particulière.
- C1 – Usage interne: c’est le niveau par défaut. Il regroupe les informations pouvant circuler librement à l’intérieur d’un périmètre donné (entreprise, service, etc.).
- C2 – Diffusion Restreinte: les informations classées ici doivent être communiquées uniquement aux personnes directement concernées et précisément identifiées. Leur diffusion aux mauvais interlocuteurs pourrait porter atteinte au fonctionnement de l’entreprise ou entraver le bon déroulement d’un projet ou d’une mission.
- C3 – Secret: ce niveau concerne les informations confidentielles dont la divulgation à des personnes non autorisées risque de nuire aux intérêts stratégiques de l’entreprise, à sa sécurité, voire à son existence.
Enfin, n’oubliez pas que pour garantir la sécurité et la confidentialité de vos données, quelle que soit leur nature, il est indispensable de les confier à des prestataires et des fournisseurs de services français ou européens, comme Wimi, qui garantissent la souveraineté de vos données en les hébergeant en France ou en Europe.
Découvrez également comment gérer les données sensibles de votre organisation.
