La sécurité de l’information est régie par la norme internationale ISO 27001. Protéger les données et surtout celles qui sont sensibles relève de l’obligation pour toutes les entreprises qui sont, dans ce cadre, tenues de mettre en place le RGPD. Cette norme s’appuie sur 4 fondamentaux. Les voici :
Sécurité de l’information : ce qu’il faut retenir
Le premier critère est la confidentialité. Une personne non autorisée ne doit pas être en mesure d’accéder à des informations confidentielles. Des mesures de sécurité physiques doivent être mises en place, y compris à l’interne car tous les collaborateurs ne sont pas forcément habilités à pouvoir consulter certaines informations. Par exemple, si l’on choisit de mettre en place un coffre-fort numérique, un salarié donné peut accéder à sa fiche de paie, tout comme le service RH, mais cela ne sera pas le cas d’autres services ou encore de ses collègues, tout comme les données ne peuvent pas être divulguées.
L’intégrité est le deuxième critère que la sécurité de l’information entend respecter. De quoi parle-t-on quand on évoque l’intégrité ? Il s’agit de s’assurer que les données que l’entreprise possède sont complètes et exactes. Personne ne doit être en mesure de pouvoir les modifier si cela n’est pas nécessaire et autorisé. Les données doivent donc être analysées et triées afin de pouvoir les utiliser à bon escient, cela ayant pour but de prendre des décisions éclairées, ce qui ne serait pas le cas si elles étaient fausses ou obsolètes.
Comment trouver le bon prestataire pour sa sécurité informatique ?
Comme beaucoup d’entreprises en France sont des TPE et des PME et qu’elles constituent une cible de choix pour les cyberattaques, il peut être difficile d’avoir une personne à l’interne. Il est plus rentable et pratique de passer par un prestataire externe, spécialisé en sécurité de l’information qui pourra en outre réaliser un audit régulier de la bonne conformité du RGPD. Il sera aussi permettre à la structure de répondre aux deux derniers critères :
La disponibilité de l’information : sécuriser les systèmes peut permettre, même en cas d’attaque d’avoir accès aux données et ce depuis n’importe quel endroit. Pour cela, il est certain qu’il faut avoir mis en place une solution qualitative de stockage afin que l’entreprise puisse reprendre rapidement le travail même en cas d’incident.
L’intervention d’un prestataire permet le plus souvent de limiter ces attaques, en savoir plus ici, car il trouve les points de vigilance et met en œuvre des solutions concrètes. Cependant, il faut comprendre que les pirates les perfectionnent et les complexifient de plus en plus ; ce qui doit obliger à renforcer de manière régulière les actions de sécurité sur le système informatique. Il ne s’agit donc pas d’une action statique mais qui doit évoluer avec le temps.
Par ailleurs, il est nécessaire de préciser qu’il serait faux de penser que parce que l’on est une petite structure, on n’intéresse pas les pirates et que l’on ne constitue pas une cible. Au contraire, on peut même dire ce que les TPE et les PME, du fait de leur nombre et de cette croyance erronée, qui deviennent les proies les plus faciles.
Enfin, le dernier axe de la sécurité de l’information est la traçabilité. Cela passe par la mise en place d’une journalisation afin pouvoir suivre et identifier les accès, enregistrer les actions qui ont été entreprises et même quand le professionnel intervient et pour quoi.
Ces quatre critères ; s’ils sont essentiels ; ne constituent pas pour autant l’entièreté de la norme ISO et il est possible d’aller beaucoup plus loin grâce à un accompagnement personnalisé par un professionnel.
Ajouter un commentaire