inspirations innovatech

Inspirations,
news et dossiers

La sécurité des données sensibles de votre entreprise. Quels risques?

Date de publication
21 septembre 2018
facebook twitter LinkedIn Google Mail Industrie/Informatique/Propriété intellectuelle Print
données sensibles

La numérisation des données des PME et l’usage croissant des outils informatiques ont multiplié les voies d’accès à vos données.Comment vous protéger?

En Belgique, les cyber-incidents en tête des risques pour l’entreprise

Le baromètre mondial des risques 2018 d’Allianz cite l’interruption d’activité et les cyber-incidents comme les risques dominants pour les entreprises de toutes tailles et de tous secteurs.

En Belgique, les cyber-incidents, notamment les défaillances informatiques et le vol de données, se classent en 1ère position devant les interruptions d’activités et les évolutions législatives et réglementaires.

Se prémunir des attaques externes et internes

Les attaques sont de plus en plus sophistiquées et visent toutes les entreprises, en ce compris les PME. A côté de l’attaque par « denial of service », visant à mettre hors ligne un serveur, l’emploi de logiciels malveillants ou le vol de mots de passe, l’usage du réseau wifi, voire d’une clé USB piégée pour pénétrer votre système n’est plus réservée aux seuls secrets d’état.

La digitalisation des données et l’augmentation considérable des capacités de stockage ont aussi facilité les possibilités pour un stagiaire, un employé ou un prestataire malveillant de voler ou détruire des informations sensibles.

Le facteur humain avant les mesures techniques

données sensiblesMalgré toutes les précautions techniques que vous pourrez prendre, le facteur humain reste le maillon faible dans la chaîne de sécurité de l’information. Votre propre personnel risque d’être à l’origine involontaire d’une attaque externe à travers l’ouverture d’un mail, le téléchargement d’un logiciel, le non renouvellement d’un mot de passe, la perte ou la non sécurisation de son PC, de son smartphone ou encore l’utilisation d’un réseau ou appareil piégé.

Informez et conscientisez donc votre personnel, et en premier lieu votre direction, à la question de la sécurité des données, en particulier des plus sensibles.

Identifiez vos données sensibles et les accès à celles-ci

Toutes les données de l’entreprise ne sont pas sensibles. S’il s’agit d’une entreprise industrielle, les informations relatives à la recherche et au développement de nouveaux produits ou services seront considérées comme essentielles au développement et à la pérennité de l’activité.

D’autres données, même si elles ne sont pas d’ordre technique, sont tout aussi importantes comme celles relatives à la stratégie commerciale, aux fichiers clients ou fournisseurs, aux méthodes de prospection ou aux décisions du conseil d’administration.

Données sensibles et données à caractère personnel

Il est difficile d’ignorer l’entrée en vigueur au mois de mai dernier du règlement général sur la protection des données au sein de l’Union européenne. Toute entreprise fait du traitement de données à caractère personnel, au minimum à travers les données de son personnel.

La quantité ou la nature des données traitées va cependant déterminer le caractère critique d’une faille de sécurité. Par exemple, une société active dans le secteur médical et exploitant des données de patients a peu de chance de survivre à un vol de celles-ci. Pour elle, ses données à caractère personnel sont les données les plus essentielles à son activité.

Classement et traçabilité des données

Une fois identifiées, il convient de classer ces données sensibles et de mettre en place des outils pour les sécuriser. Sécuriser ces données sensibles signifie notamment en limiter l’accès à un nombre restreint et identifié de personnes soumises à une obligation professionnelle ou contractuelle de confidentialité.

Cela implique également de prévoir un moyen de traçabilité de ces données, c’est-à-dire pouvoir éventuellement établir dans le cadre d’un contentieux judiciaire que l’entreprise était en possession de ces données avant la violation de l’obligation.

En Belgique, un moyen rapide, facile et économique de donner une date certaine à un contenu est l’i-dépôt, service fourni par l’Office Benelux de la propriété intellectuelle . L’OBPI garde secret le contenu pendant une durée initiale de 5 ans (36 EUR), renouvelable une fois (26 EUR) ou de 10 ans (52 EUR). En cas d’incident, l’OBPI peut vous fournir une copie certifiée conforme de ce qui a été déposé. Ce moyen de datation peut évidemment être combiné avec d’autres comme le cahier de laboratoire, l’horodatage électronique ou l’archivage numérique.

Au niveau des mesures contractuelles à mettre en place, il conviendra de s’assurer de l’obligation de confidentialité des salariés et prestataires concernés.

Au niveau des mesures techniques, celles-ci vont dépendre en grande partie de la configuration de votre système et réseau informatique. Avez-vous la possibilité de gérer l’accès à vos ordinateurs et réseaux? Votre protection antivirus et vos programmes sont-ils bien à jour? Avez-vous un système de back-up? Est-il centralisé? Comment sont sécurisés les accès à distance, les postes de travail et les appareils mobiles de vos employés? Comment votre site internet est-il sécurisé? Disposez-vous d’un plan de continuité des activités et de gestion des incidents?

Vous trouverez une série de conseils pratiques sur le site du Centre for Cyber Security Belgium (CCB).

Confidentialité de vos données et secret des affaires

données sensiblesL’existence d’une obligation de confidentialité à charge de vos employés et partenaires sera un élément déterminant dans le cadre de l’application de la nouvelle loi belge relative à la protection des secrets d’affaires, entrée en vigueur le 24 août dernier.

Celle-ci définit le secret d’affaires comme une information secrète, qui a une valeur commerciale parce que secrète et fait l’objet de dispositions raisonnables, compte tenu des circonstances, destinées à la garder secrète. La présence d’une clause contractuelle de confidentialité sera probablement considérée comme une disposition raisonnable et nécessaire à cet effet.

Cette nouvelle loi modifie l’article 17 de la loi sur les contrats de travail pour mentionner explicitement le secret d’affaires et pour interdire à tout employé, tant au cours du contrat qu’après la cessation de celui-ci, d’obtenir, d’utiliser ou de divulguer de manière illicite, un secret d’affaires dont il peut avoir connaissance dans l’exercice de son activité professionnelle.

Le code pénal, inchangé, sanctionne toujours celui qui aura méchamment ou frauduleusement communiqué des secrets de la fabrique dans laquelle il a été ou est encore employé.

l'équipe de rédaction InnovaTech

Par

L'équipe de rédaction d'InnovaTech est composée d'experts en innovation technologique et en communication.

Website Facebook Twitter LinkedIn

Services associés

coach

Bénéficiez d’un coach

propriété intellectuelle

Propriété intellectuelle