Sécurité

Comment gérer les données sensibles de votre organisation ?

Il n’y a pas si longtemps, les données des entreprises étaient enregistrées manuellement sur papier, puis rangées dans des boîtes et stockées dans les archives des entreprises ou dans des lieux de stockage sécurisés, et le seul moyen pour les personnes malveillantes de se les procurer étaient le cambriolage.

Aujourd’hui, les temps ont bien changé. La transformation digitale est passée par là, et les données sont désormais majoritairement numérisées et stockées sur le cloud, où elles sont plus vulnérables aux cyberattaques.

La question de la protection des données est devenue une problématique très importante pour les entreprises qui doivent garantir à tout prix que leurs données sensibles restent confidentielles.

Que sont les données sensibles ?

Les organisations de toutes les tailles et de tous les secteurs recueillent, traitent et stockent quotidiennement une importante quantité de données plus ou moins sensibles.

Parmi les données sensibles, on recense :

  • les informations concernant les clients et les employéstelles que le numéro de sécurité sociale, l’adresse du domicile, le numéro de téléphone, l’adresse email, le numéro de passeport, mais également l’origine raciale ou ethnique, les données de santé, les opinions politiques, l’appartenance syndicale, etc. ;
  • les données financières telles que les moyens de paiement des clients, les informations bancaires, les fiches de paie des employés, etc. ;
  • les données stratégiques de l’entreprise.

Si ces données sensibles tombent entre de mauvaises mains, les conséquences peuvent être désastreuses : fraude, vol d’identité, extorsion, espionnage industriel, concurrence déloyale, etc. La réputation et l’image de votre entreprise en seront affectées, vous perdrez la confiance de vos clients ou votre avantage concurrentiel, et tout cela aura un impact financier important sur votre entreprise.

La protection de vos données sensibles doit donc être votre priorité. Voici comment gérer efficacement vos données pour éviter toute fuite ou vol.

Comment bien gérer les données sensibles de votre organisation ?

Suivez ces conseils afin de gérer efficacement et de protéger vos données sensibles.

1. Inventoriez toutes vos données sensibles

Pour commencer, vous devez :

  • faire un inventaire de l’ensemble des informations sensibles dont votre entreprise est en possession ;
  • identifier les mouvements de ces données (comment les obtenez-vous ? Qu’en faites-vous ?) ;
  • établir la liste des personnes qui y ont régulièrement accès ou qui peuvent y avoir accès.

C’est de cette façon que vous pourrez définir où se situent les éventuelles failles de sécurité.

Répertoriez les données sensibles :

  • par type : financière, personnelle, stratégique, etc. ;
  • par lieu : ordinateur (fixe et portable), disque dur, clé USB, serveur, téléphone portable, etc. ;
  • par service : ventes, marketing, ressources humaines, finances, ainsi que vos fournisseurs de services (comme le cloud), les call centers, etc.

2. Réduisez-les au strict minimum

Pour assurer la sécurité des données les plus sensibles, il est essentiel de ne collecter ou de ne garder que ce dont vous avez réellement besoin pour faire fonctionner correctement votre entreprise. Par exemple, est-il vraiment nécessaire de conserver le numéro de carte de crédit, la date d’expiration et le CVC (Card Validation Code) pour chacun de vos clients ?

3. Protégez les données que vous conservez

A présent, vous devez protéger les données sensibles dont votre entreprise ne peut se passer. Pour cela, trois éléments sont à prendre en compte :

  • La sécurité physique : dans la mesure du possible, dédiez une pièce qui ferme à clé pour le stockage des données sensibles où vous entreposerez disques durs, CD, dossiers papier ou encore serveurs. Seul un nombre restreint de personnes doivent y avoir accès. Mieux encore, nommez une seule personne responsable de cette salle et assurez qu’elle tienne un registre des personnes qui accèdent aux données stockées.
  • La sécurité électronique : vous devez connaître les éventuelles failles de votre système informatique et faire appel à des experts pour y remédier. Installez des antivirus que vous mettez régulièrement à jour. Utilisez le chiffrement de bout en bout pour toutes vos données, surtout les plus sensibles. Utilisez également des applications pour générer automatiquement et régulièrement de nouveaux mots de passe. Si possible, évitez de stocker vos données sensibles sur un ordinateur avec accès à Internet.
  • La sécurité de vos fournisseurs : si vous mettez en place des mesures de sécurité strictes mais pas vos fournisseurs, vous courrez un risque. Assurez-vous que les entreprises avec lesquelles vous travaillez ont également adopté des règles rigoureuses pour protéger leurs systèmes et vos données. Privilégiez les entreprises qui hébergent vos données en France comme Wimi. Précisez également qu’ils doivent vous informer du moindre incident, même sans gravité.

4. Supprimez correctement ce dont vous n’avez pas besoin

La suppression de données sensibles doit se faire correctement pour ne laisser aucune trace qui soit récupérable et réutilisable par des cybercriminels.

Définissez la procédure à suivre pour éliminer efficacement toute information sensible. Broyez ou brûlez les papiers confidentiels en installant des broyeurs dans les différents services ou près du photocopieur. Utilisez des logiciels spécialisés pour effacer tous les fichiers présents sur un ordinateur dont vous souhaitez vous débarrasser. Sans cela, les informations pourraient être récupérées.

5. Eduquez vos salariés aux bonnes pratiques de la cybersécurité

Les employés qui travaillent régulièrement avec des données sensibles doivent comprendre l’importance de maintenir ces données confidentielles ainsi que leur rôle dans la protection de ces données. Pour cela, il est indispensable que vous les sensibilisez aux risques encourus et que vous les formiez aux bonnes pratiques à adopter et aux comportements à éviter (reconnaître le hameçonnage, ne pas télécharger la pièce jointe d’un email dont l’expéditeur est inconnu, etc.). Même chose pour les salariés en télétravail.

Vous pouvez également former une personne ou une équipe spécialement dédiée à la sécurité de vos données, et ce quelle que soit la taille de votre entreprise. Cette équipe peut se charger de former vos employés aux risques de la cybercriminalité, de répondre à leurs questions et de venir en soutien aux équipes du service informatique.

6. Préparez une réponse adaptée en cas d’infraction

Les cybercriminels semblent toujours avoir une longueur d’avance et il est donc difficile aujourd’hui de créer un système de sécurité totalement infaillible. Vous devez vous préparer à réagir efficacement en cas d’infraction afin de réduire au maximum l’impact sur votre entreprise, vos clients et vos employés.

Pour cela, définissez un plan d’action décrivant les mesures à mettre en place en cas d’incident de sécurité et désignez une ou plusieurs personnes responsables pour sa mise en œuvre. Documentez l’incident (nature de l’infraction, nombre de personnes concernées, type de données, etc.). Analysez l’incident pour savoir ce qui s’est passé et comment y remédier. Enfin, dressez la liste des personnes et organismes à prévenir (personnes concernées, la CNIL, etc.).

New call-to-action