La protection des données est aujourd’hui une préoccupation majeure pour tous les acteurs de l’économie. Toutefois, les grandes entreprises sont confrontées à un défi de taille, compte tenu de la quantité d’informations qu’elles traitent au quotidien et de la nature sensible de certaines de leurs données.
Quels types d’informations sont considérés comme des données sensibles ?
Il existe plusieurs catégories de données sensibles, qui se rapportent à la fois aux entreprises et aux particuliers.
Les données sensibles de l’entreprise
Une donnée sensible peut désigner un renseignement d’ordre économique, commercial, financier ou technique détenu par une entreprise.
Cette notion englobe une grande variété de documents relatifs aux activités d’une société : secrets de fabrication, plans de production, documents de propriété intellectuelle, décisions stratégiques, projets de recrutement…
Elle concerne également la trésorerie, la politique tarifaire, les montages financiers, les conditions d’achat auprès des fournisseurs, les rémunérations, etc.
Au sein de chaque société, le niveau de sensibilité d’une donnée doit être évalué au cas par cas sur la base d’une analyse de risque, en fonction du préjudice potentiel lié à sa divulgation ou à son altération.
Les données sensibles à caractère personnel
Au-delà de leurs données économiques, industrielles ou commerciales, les entreprises traitent quotidiennement de nombreuses informations liées à des individus, qu’il s’agisse de leurs clients ou de leurs collaborateurs.
Ces données sensibles incluent des informations révélant l’origine raciale ou ethnique présumée d’une personne, ses opinions politiques, ses croyances religieuses ou philosophiques ou encore son appartenance syndicale.
Sans oublier les données génétiques et biométriques destinées à identifier une personne de manière unique, les données de santé, mais aussi celles relatives à la vie sexuelle ou à l’orientation sexuelle.
La protection des données sensibles : un enjeu de conformité réglementaire
Conformément au règlement général sur la protection des données (RGPD), en vigueur en France et dans l’Union européenne, la collecte et l’utilisation des données sensibles sont formellement interdites, à l’exception de certaines situations :
- Quand la personne concernée a donné son consentement explicite, c’est-à-dire de manière active (et de préférence écrite), libre, spécifique, et informée.
- Quand les données ont été rendues publiques de manière manifeste par la personne concernée.
- Quand ces données sont nécessaires pour préserver la vie humaine.
- Quand leur traitement est justifié par un intérêt public et autorisé par la CNIL.
- Quand elles concernent les membres ou les adhérents d’une association ou d’une organisation politique, religieuse, philosophique, ou syndicale.
De plus, les entreprises sont soumises à une obligation de protection des données qu’elles collectent, traitent et exploitent. Elles doivent ainsi éviter tout risque d’altération, de détournement, de vol ou d’utilisation de ces données par des individus malintentionnés.
À noter que cette obligation réglementaire concerne uniquement les données des personnes physiques. Néanmoins, face à la menace grandissante des cyberattaques, les organisations ont tout intérêt à sécuriser au mieux les données sensibles qui leur sont propres, comme leurs documents confidentiels.
Les bonnes pratiques pour sécuriser les données sensibles d’une grande entreprise
Les grandes entreprises ont plusieurs leviers à leur disposition pour améliorer la sécurité de leurs données sensibles.
Sensibiliser les collaborateurs
Il est bon de le rappeler : l’erreur humaine est à l’origine de 90 % des attaques informatiques. La sensibilisation des employés aux risques cyber est donc une première étape indispensable pour sécuriser les données sensibles d’une société.
Le déploiement d’une politique de prévention efficace doit s’appuyer sur différents leviers, comme la mise en place de formations régulières ou la diffusion d’une charte de sécurité informatique. L’objectif étant que les collaborateurs intègrent dans leurs pratiques quotidiennes les mesures de précaution élémentaires, par exemple :
- Ne pas installer d’applications non vérifiées dans le système d’information de l’entreprise.
- Ne pas télécharger une pièce jointe qui n’a pas été vérifiée préalablement par un antivirus.
- Ne pas se connecter au SI à l’aide d’un réseau wifi non sécurisé.
- Ne pas diffuser de documents confidentiels hors de l’entreprise.
Mettre en place des mots de passe et des mécanismes d’authentification forts
Des processus d’authentification robustes sont indispensables pour protéger l’accès aux données sensibles d’une grande entreprise.
Concernant les mots de passe, il convient de faire appliquer un certain nombre de recommandations :
- Générer un mot de passe fort, contenant des lettres majuscules et minuscules, des chiffres et des symboles.
- Ne pas intégrer des informations concernant l’utilisateur dans le mot de passe : date de naissance, prénom, numéro de téléphone, etc.
- Utiliser un mot de passe unique pour chaque application.
- Renouveler le mot de passe tous les 90 jours environ.
- Modifier immédiatement un mot de passe généré par défaut.
- Ne pas conserver tous ses mots de passe dans un fichier non protégé et facilement accessible.
- Refuser l’option de sauvegarde de mot de passe proposée par les sites internet et les applications.
Mais une politique de mots de passe rigoureuse doit être complétée par des mécanismes d’authentification solides. L’authentification à deux facteurs, notamment, permet de renforcer considérablement la sécurité d’un compte utilisateur, en ajoutant une couche de protection supplémentaire.
En plus du nom d’utilisateur et du mot de passe, ce système impose un identifiant supplémentaire : par exemple, un code envoyé par SMS ou par mail à chaque connexion. Ainsi, même si le mot de passe de l’utilisateur est compromis, l’authentification à deux facteurs peut empêcher un individu malintentionné de se connecter à une application.
Limiter l’accès aux données en interne
La menace ne provient pas toujours de l’extérieur : c’est pourquoi il est important de réguler l’accès aux données sensibles au sein de la société. Concrètement, les collaborateurs doivent pouvoir accéder uniquement aux informations pertinentes en fonction de leur métier, de leur niveau hiérarchique et d’autres critères.
Pour limiter l’accès aux données sensibles en interne, plusieurs bonnes pratiques peuvent être mises en œuvre :
- Avec un système de contrôle d’accès basé sur les rôles, les utilisateurs ne peuvent consulter que les données strictement nécessaires à la réalisation de leurs missions. En créant et en attribuant des rôles spécifiques aux employés, l’entreprise limite les risques de modification ou de fuite de données.
- Une surveillance constante de l’accès aux données permet de savoir qui a accédé à quelle information et à quel moment. De quoi établir une véritable traçabilité des données.
- Enfin, les accès accordés aux utilisateurs doivent être vérifiés régulièrement et mis à jour si nécessaire. Quant aux employés qui quittent l’entreprise, il est essentiel de supprimer rapidement leur accès au système d’information.
Chiffrer les données
Le chiffrement est une technique qui consiste à encoder l’information à l’aide de modèles mathématiques cryptographiques, aussi appelés algorithmes. Une fois chiffrée, l’information est illisible : seule une personne possédant la clé de déchiffrement pour la décoder et la comprendre.
L’intérêt du chiffrement est d’autant plus grand que les données sont constamment en mouvement. Lorsqu’elles passent d’un appareil à l’autre, ou bien lorsqu’elles sont transférées sur le cloud, les données sont particulièrement exposées. Le chiffrement, associé à d’autres mesures de sécurité, contribue donc à leur protection.
Le chiffrement garantit également l’intégrité des données, car il empêche les individus malveillants de modifier des informations sensibles, mais aussi de les exploiter à des fins de fraude ou d’extorsion.
Néanmoins, les clés de déchiffrement sont loin d’être infaillibles, tout comme les mots de passe et les mécanismes d’authentification. Il s’agit donc de protections limitées, notamment face au risque d’ingérence étrangère…
Utiliser des logiciels souverains
C’est une décision qui a fait débat au début de l’année 2024 : le géant américain Microsoft a été retenu pour héberger des données de santé de l’Assurance Maladie – qui sont des données sensibles par excellence. À ce sujet, la CNIL n’a pas manqué de pointer du doigt les risques d’application de lois américaines à portée extra-territoriale.
C’est notamment le cas du Foreign Intelligence Surveillance Act (FISA), qui permet aux agences gouvernementales des États-Unis de collecter massivement les données numériques des personnes non américaines, sans aucun mandat.
Autrement dit, un logiciel hébergé en France mais fourni par une société d’outre-Atlantique n’offre aucune garantie de protection contre une éventuelle ingérence étrangère. Les services de renseignement américains peuvent accéder aux données des fournisseurs de services comme Microsoft, Amazon ou Google, qui sont soumises au droit américain, quand bien même ces informations sont stockées en dehors des USA.
En dépit des mesures de sécurité les plus strictes, le risque d’exposer des données sensibles à une puissance étrangère est donc bien réel pour les grandes entreprises, qui utilisent massivement des solutions américaines, le plus souvent sur le cloud.
À ce titre, les outils de Business Intelligence sont particulièrement concernés, car ils permettent de collecter et de traiter de grandes quantités de données, dont certaines peuvent être sensibles. Le choix d’une plateforme française hébergée en France, comme DigDash Enterprise, est donc crucial pour protéger vos données, mais aussi celles de vos clients ou de vos partenaires.
Bien qu’une politique de cybersécurité robuste soit nécessaire pour protéger les données sensibles, les grandes entreprises ne peuvent aujourd’hui plus faire l’impasse sur la question de la souveraineté numérique. À terme, il est donc crucial de privilégier des logiciels français ou européens hébergés localement.
