Close
By Devoteam Management Consulting

Paroles d'experts

Votre iceberg est-il toujours à flot ?

06/03/2018 Security & Risk Management

Aujourd’hui, plus que jamais, la valeur d’une entreprise est directement liée à son patrimoine immatériel. Les savoirs et les connaissances prennent des formes toujours plus variées au sein de nos systèmes d’information et sont par la même occasion rendus de plus en plus accessibles. C’est ainsi que les acteurs du Knowledge Management, de la Data et de la Cyber Sécurité ont maintenant besoin de collaborer vers un idéal équilibré entre richesse d’information et sécurité.

Que représente cet iceberg ? Le symbole de votre patrimoine informationnel et de la vision qu’en ont vos collaborateurs.

Une prise de conscience nécessaire

Dans la très grande majorité des entreprises, la sensibilité des informations manipulées n’est pas prise en considération à leur juste valeur. Au sein de son environnement professionnel, il est possible de perdre ses repères sur la notion de confidentialité. Cela peut effectivement aller de résultats financiers stratégiques à une simple planification de déplacements professionnels d’un dirigeant. Or ce dernier exemple est une véritable anecdote à la suite de laquelle un appel d’offres majeur fut perdu. Une assistante de direction avait partagé son agenda professionnel sur un réseau social public dans le but d’organiser un déjeuner avec une connaissance.

De nombreuses informations métiers sont échangées dans de multiples contextes : réseaux sociaux d’entreprise, intranets, animations internes, supports numériques de présentation, contenus audiovisuels… Nous sommes confrontés aujourd’hui à un partage des données de plus en plus ouvert. La digitalisation incite les collaborateurs à produire et à communiquer sur leurs réalisations. Les initiatives du collaboratif et de la capitalisation des connaissances nous encouragent à rendre l’information toujours plus accessible au plus grand nombre.

Or si un simple agenda professionnel peut faire échouer un appel d’offres, il faut mesurer le potentiel impact derrière la divulgation d’un tel cumul d’informations. Chaque détail devient alors une opportunité pour des attaques cyber de type ingénierie sociale, fraude, spear phishing (hameçonnage ciblé par email)… Pour rappel, en 2016, la cyber criminalité a coûté plus de 450 milliards à l’économie mondiale, avec le vol de plus de 2 milliards d’informations personnelles.

Une responsabilité décentralisée et déséquilibrante

Dans ce contexte, les environnements de travail centralisés tels que O365 de Microsoft ou G Suite de Google peuvent inspirer confiance à tort. Est-ce que toute information chargée sur une de ces plateformes est protégée car “appartenant” au système d’information de son entreprise ? Premièrement, personne ne nie que cette appartenance délocalisée pourrait être remise en cause. Deuxièmement, la centralisation de l’accès aux informations via une unique plateforme rend la gestion des droits et des accès d’autant plus sensible.

Qui accède à quelle information ? Est-ce justifié ? Certes, cette gestion est un sujet de sécurité usuel, mais il s’amplifie dans de tels environnements. La facilité de partage accentue le risque. Du propriétaire initial de l’information au collaborateur final qui la reçoit par transmissions successives, la sensibilisation de l’information n’est plus considérée à sa juste valeur. Les usages doivent donc être encadrés pour éviter de tomber dans l’abus de l’ultra partage.

Derrière la perception des collaborateurs se cache donc un équilibre critique entre informations publiques et informations internes. L’iceberg en est le symbole même puisque seul un dixième de sa composition se situe en surface. Dans l’illustration ci-dessous, la figure de droite représente une vision biaisée de la réalité. Les comportements qui pourraient en découler seraient dramatiques pour la survie de l’entreprise. Comme l’iceberg, cette dernière doit contrôler et limiter au maximum son exposition de surface pour garantir sa flottabilité sur le long terme.

 

Deux visions collaborateurs de la répartition des informations

 

Selon la maturité de l’entreprise, la classification des informations internes peut être sous-segmentée en plusieurs niveaux de confidentialité. Quel que soit le détail de cette classification, le plus important reste encore de la faire connaître et appliquer par les collaborateurs. Or cela représente une pierre angulaire de la cyber sécurité qui est souvent sous estimée. Sans classification de l’information comment adapter les comportements, paramétrer les systèmes d’information et enfin transmettre l’information avec le bon niveau de sécurité ?

Le collaborateur comme seul remède

Des solutions existent pour identifier une information comme étant confidentielle. Cela peut aller du simple filigrane sur le contenu d’un document, au marquage d’un fichier électronique via les métadonnées. Le problème n’est pas tant l’outil que la culture d’entreprise qui doit s’y associer. Il est donc primordial de sensibiliser les collaborateurs à s’impliquer dans cette démarche.

Toutes les mesures techniques possibles ne pourront jamais suffire à se protéger complètement des cyber menaces. Dans une telle bataille asymétrique, les collaborateurs ne doivent plus être seulement considérés comme un risque mais bel et bien comme des relais et des acteurs principaux dans la protection du patrimoine de l’entreprise.

Partant de cette conviction, nous avons travaillé avec un client sur la création d’une application mobile afin de simplifier au maximum la classification d’une information. A l’issu de quelques questions, nous affichions les bonnes pratiques à appliquer pour partager, stocker, imprimer ou détruire l’information en question. L’aspect mobile a permis de travailler sur une interface très accessible et intuitive pour donner envie au collaborateur de se poser les bonnes questions et ainsi se responsabiliser sur la protection de son information.

Aujourd’hui la cyber sécurité repose donc autant sur l’implication de ses collaborateurs que sur son expertise technique. Connaître la valeur des informations manipulées et adapter son comportement en conséquence est un pré-requis majeur pour assurer l’équilibre de son patrimoine informationnel.

Et vous, votre iceberg, comment se porte-t-il ?

A propos de l'auteur
Thomas Charara, Consultant chez Devoteam Management Consulting
« Digitaliser les pensées avant de digitaliser les métiers. »
Depuis 2015 chez Devoteam, Thomas est issu d’une formation d’ingénieur généraliste et d’un double diplôme en gestion d’entreprise.
Ses missions lui ont permis d’accompagner de grands groupes sur des problématiques applicatives, cybersécurité et cloud.
2018-03-21T11:24:49+01:00

Laisser un commentaire

Recevez par email le prochain article sur le même topic Recevoir une alerte