Protection des données et quadrature du cercle

La crise sanitaire et le télétravail ont amené à une transformation rapide dont les conditions inédites doivent intégrer les enjeux de sécurité. Les acteurs de la chaîne de valeur ont tout à y gagner.

Bien que la valeur ajoutée d’une solution permettant la gestion des échanges numériques soit incontestable, sa mise en oeuvre préoccupe les DSI. L’adoption de ces outils et la maîtrise des flux documentaires constituent la principale source d’inquiétude. Entre productivité et sécurité, nombre de solutions proposent de définir des règles simples, afin de maintenir la confidentialité et l’accessibilité des documents entre les collaborateurs. Celles-ci s’appliquent au travers de plusieurs critères : gestion des accès par utilisateurs ou par niveaux de criticité des données, toutes choses à définir. Même si on constate, sur le papier, la promesse d’une sécurité des informations, avec en plus une proposition de chiffrement, il ne faut pas oublier que la première source de fuite ne provient pas de l’extérieur, mais de l’utilisateur lui-même, intentionnellement ou pas.

D’ABORD COMPRENDRE LES COMPORTEMENTS

La DLP (data loss prevention) est essentielle pour obtenir une protection complète des données, car cette technologie dépasse le niveau des restrictions et des droits pour ce type de solution. Un tel outil doit assurer l’audit constant des flux, et fournir une même agilité sur le volet sécuritaire. Dans l’exemple d’un service financier manipulant des données critiques, et disposant des droits de consultation ou d’export, rien n’empêche celui-ci, par erreur ou par volonté, de partager un document avec des collaborateurs limités au droit de lecture, par le biais de plusieurs canaux. De fait, la garantie d’un accès contrôlé aux informations devient difficile, sans même connaître le parcours de cette fuite potentielle. Ainsi, des entreprises gestionnaires de nombreux groupes et de sousgroupes, se demandent toujours si un nouvel utilisateur peut, ou doit, voir certains contenus. La complexité de cette sécurisation conduit à un impact désastreux du shadow IT : les documents finissent souvent en pièce jointe d’e-mail, voire migrent sur un autre canal. Voilà pourquoi il est capital d’appliquer une stratégie d’analyse des comportements afin de conserver la valeur ajoutée d’une solution de gestion documentaire. Cet audit permanent sur la gestion des données affine les règles et les droits d’accessibilité, bien souvent arbitraires ou complexes. La sécurité sera préservée à ce prix. Reste à trouver la voie pour satisfaire à deux injonctions apparemment contradictoires : laisser le plus de latitude possible, tout en étant intransigeant sur la protection.

CONCILIER SOUPLESSE ET SÉCURITÉ

La mise en place d’une GED, accompagnée de ses fonctions de sécurité, constitue donc un premier rempart. Toutefois, la tâche s’avère difficile pour couvrir les multiples façons de gérer les accès, mais aussi pour que les utilisateurs appréhendent des risques cyber. Pour choisir une solution de DLP efficace, il est nécessaire que celle-ci s’appuie sur trois piliers : l’audit automatisé, pour aider les administrateurs dans l’application des règles, et intervenir de manière proactive lors d’un comportement suspect ; dans un deuxième temps, la protection par la restriction en proposant une large couverture des outils et applicatifs ; quant au dernier axe, il correspond à l’apprentissage. Trop souvent perçu comme un outil intrusif dans le quotidien des collaborateurs, celui-ci doit remplir un rôle essentiel tant sur son adoption que sur la sensibilité au risque qu’il dispense.

BIO EXPRESS
Promu fin 2020 au poste de directeur marketing d’Eset France et Afrique francophone, Bruno Bonny affiche dix années au sein du groupe Athena Global Services, distributeur exclusif d’Eset. Il a occupé depuis son arrivée de nombreux postes à responsabilité, tant au service commercial que comme directeur des partenariats. Côté licences et certifications, Bruno Bonny détient la certification Eset Remote Administrator 6.