Les entreprises ne sécurisent pas leurs documents confidentiels.
Par Thierry Veyre, concepteur de Cblue
L’un des objectifs clés d’une entreprise est de maintenir l’information confidentielle secrète. Une récente enquête du réseau américain BPI (Business Performance Innovation) démontre que 60% des personnes sondées ont constaté que les documents sensibles de leur entreprise ont été accidentellement lu par une personne non autorisée préalablement.
Nous avons tous, par erreur, expédié un document au mauvais destinataire.
L’enquête du réseau BPI, basée sur des réponses de cadres de 200 sociétés de divers secteurs d’activités, a été réalisée le dernier trimestre 2016 et le premier trimestre 2017.
Elle constate que :
- 89% de ces personnes pensent que l’hyper connectivité et la prolifération de périphérique mobile augmentent le risque sur les documents.
- 95% des répondants sont préoccupés par la sécurité des documents de leur entreprise.
- 75% des personnes sondées considèrent que leur entreprise produit des documents confidentiels chaque semaine.
- Seulement un tiers indique que leur organisation met en œuvre des techniques de protection pour protéger les documents.
La conclusion de cette enquête est sans équivoque : 43% des politiques de sécurité du système d’information (PSSI) sont comprises par les utilisateurs sur ce sujet mais que seulement 16% de ces PSSI sont réellement efficaces contre la distribution négligente de document confidentiel.
Ces documents sensibles ne sont pas exclusivement rédigés par la direction ou le laboratoire de recherche d’une entreprise. Chaque service produit son lot de données à haute valeur : bilan financier, fiche de ressource humaine, document juridique, contrat et accord d’affaire, secret commercial, plan de propriété intellectuelle, …
Des règles sont pourtant facilement applicables pour solutionner ce problème :
- Classification des données en trois catégories (blanche pour publique, grise pour sensible et noire pour confidentielle).
- Mise en place de droit d’accès sur les fichiers et les dossiers.
- Définition de procédure de contrôle sur ces données comme l’historisation des accès.
- Mise en place d’une PSSI et sensibilisation des utilisateurs.
- Interdiction de l’utilisation de service en ligne comme Dropbox.
- Interdiction de l’enregistrement de document confidentiel sur un ordinateur portable ou une clé USB non chiffré.
- …
En conclusion, des solutions simples existent comme la mise en place de la PSSI fournie qui définit des règles simples pour vos utilisateurs de partage d’information sensible.