PAPEETE, le 20 mai 2014 – Alors que les entreprises sont de plus en plus dépendantes de l’outil informatique, leurs données confidentielles sont de plus en plus exposées. Destruction accidentelle, employés indiscrets ou même pirates informatiques sont autant de dangers. Léo Letouzey explique quelles stratégies mettre en place pour se protéger :
Que regroupe le terme « sécurité informatique » ?
La sécurité informatique est un domaine assez large et très souvent les utilisateurs des systèmes informatiques ne disposent que d'une vision tronquée de ce qu'elle peut représenter. Typiquement, un usager lambda ne s'inquiétera au mieux que des virus informatiques, mais combien aujourd'hui font des sauvegardes de leurs données personnelles ?
Si demain vous perdez votre téléphone ou que votre ordinateur brûle, sans sauvegardes vous perdrez toutes vos photos de vacances ! Une entreprise aura sans doute mis en place ces outils de sauvegardes, mais comment s'assurer que les données ne quittent pas la société ? Pour résumer, la sécurité informatique peut être réduite à trois principes : La disponibilité, la confidentialité et l'intégrité des données.
Que signifient ces trois principes ?
La disponibilité des données est le fait d'assurer que l'information est disponible quand on en a besoin. La confidentialité consiste à s'assurer que seules les personnes autorisées peuvent accéder aux informations. Enfin l'intégrité permet d'assurer que les données n'ont pas été altérées de quelques sortes que ce soit.
Pouvez-vous nous donner des exemples concrets ?
La disponibilité des données aura un sens différent en fonction des contextes. Typiquement, pour un site internet cela signifie que celui-ci doit être accessible en ligne 24h/24, 7J/7, immédiatement et depuis n'importe où sur la planète. Mais pour des données d'entreprise ce besoin est beaucoup plus limité. Très souvent l'accès ne se fait que depuis les bureaux aux heures ouvrables.
La confidentialité permet par exemple de s'assurer que personne ne lira vos mails hormis vous et le destinataire. C'est également s'assurer que seul le responsable financier de l'entreprise accède aux données comptables.
Enfin l'intégrité permet d'assurer la validité des données. Cela veut évidement dire prévenir les modifications frauduleuses, mais dans des espaces de travail de plus en plus collaboratifs, cela veut également dire être assuré de disposer de la dernière version d'un document.
Comment s’organise cette protection des données dans l’entreprise ?
La sécurité informatique se définit au cas par cas. Il faut identifier les données, on ne protège pas de la même façon les données comptables et les photos du dernier repas d'entreprise. Il faut identifier les droits d'accès sur ces données, définir des stratégies de sauvegardes, des processus d'échange de données entre utilisateurs, etc. Tout est histoire de compromis : comment rendre les données disponibles au maximum sans enfreindre les règles de confidentialité. Autre compromis : il est préférable de stocker les sauvegardes ailleurs, ainsi si votre bâtiment brûle votre sauvegarde reste sauve. Mais cela sous-entend de 'sortir' les données de votre entreprise, ce qui peut les exposer à être volées.
Au sein de l’entreprise, les acteurs qui définissent cette gestion sont variés. La direction définit les grandes lignes et les contraintes, le service informatique présente les possibilités et les limites techniques, la comptabilité valide les coûts, et bien sûr les usagers énoncent leurs besoins.
Avons-nous des contraintes particulières à la Polynésie ?
Oui, et elles sont multiples. Prenons deux exemples. Tout d'abord, une société qui dispose de plusieurs sites éparpillés sur plusieurs îles. L'absence de solutions internet professionnelles fait qu'aujourd'hui les échanges de données se font par mail, par clé USB, par fax... Cela limite grandement la disponibilité des données et met en péril leur confidentialité. Qui n'a jamais égaré une clé USB ?
Ensuite, je reprendrai l'exemple des sauvegardes. En France et dans le reste du monde, des solutions de sauvegarde en ligne (Cloud) existent. Ici on manque d'une part de solutions de ce genre et d'autre part les débits actuels ne permettent pas de mettre en place ce type de services à des couts raisonnables.
Léo Letouzey, consultant en sécurité informatique
Léo Letouzey a obtenu en 2008 un master en cryptologie et sécurité informatique à Bordeaux, puis un doctorat en Sécurité Informatique (Sécurité des Méta-Données pour le Web Sémantique) à l’UPF. Depuis, il est devenu consultant et est responsable sécurité des systèmes d’information chez Vittoria Conseil. Léo est également actif dans le monde des start-ups puisqu’il a développé la partie système et réseau de la jeune pousse polynésienne Yuxuh.
Que regroupe le terme « sécurité informatique » ?
La sécurité informatique est un domaine assez large et très souvent les utilisateurs des systèmes informatiques ne disposent que d'une vision tronquée de ce qu'elle peut représenter. Typiquement, un usager lambda ne s'inquiétera au mieux que des virus informatiques, mais combien aujourd'hui font des sauvegardes de leurs données personnelles ?
Si demain vous perdez votre téléphone ou que votre ordinateur brûle, sans sauvegardes vous perdrez toutes vos photos de vacances ! Une entreprise aura sans doute mis en place ces outils de sauvegardes, mais comment s'assurer que les données ne quittent pas la société ? Pour résumer, la sécurité informatique peut être réduite à trois principes : La disponibilité, la confidentialité et l'intégrité des données.
Que signifient ces trois principes ?
La disponibilité des données est le fait d'assurer que l'information est disponible quand on en a besoin. La confidentialité consiste à s'assurer que seules les personnes autorisées peuvent accéder aux informations. Enfin l'intégrité permet d'assurer que les données n'ont pas été altérées de quelques sortes que ce soit.
Pouvez-vous nous donner des exemples concrets ?
La disponibilité des données aura un sens différent en fonction des contextes. Typiquement, pour un site internet cela signifie que celui-ci doit être accessible en ligne 24h/24, 7J/7, immédiatement et depuis n'importe où sur la planète. Mais pour des données d'entreprise ce besoin est beaucoup plus limité. Très souvent l'accès ne se fait que depuis les bureaux aux heures ouvrables.
La confidentialité permet par exemple de s'assurer que personne ne lira vos mails hormis vous et le destinataire. C'est également s'assurer que seul le responsable financier de l'entreprise accède aux données comptables.
Enfin l'intégrité permet d'assurer la validité des données. Cela veut évidement dire prévenir les modifications frauduleuses, mais dans des espaces de travail de plus en plus collaboratifs, cela veut également dire être assuré de disposer de la dernière version d'un document.
Comment s’organise cette protection des données dans l’entreprise ?
La sécurité informatique se définit au cas par cas. Il faut identifier les données, on ne protège pas de la même façon les données comptables et les photos du dernier repas d'entreprise. Il faut identifier les droits d'accès sur ces données, définir des stratégies de sauvegardes, des processus d'échange de données entre utilisateurs, etc. Tout est histoire de compromis : comment rendre les données disponibles au maximum sans enfreindre les règles de confidentialité. Autre compromis : il est préférable de stocker les sauvegardes ailleurs, ainsi si votre bâtiment brûle votre sauvegarde reste sauve. Mais cela sous-entend de 'sortir' les données de votre entreprise, ce qui peut les exposer à être volées.
Au sein de l’entreprise, les acteurs qui définissent cette gestion sont variés. La direction définit les grandes lignes et les contraintes, le service informatique présente les possibilités et les limites techniques, la comptabilité valide les coûts, et bien sûr les usagers énoncent leurs besoins.
Avons-nous des contraintes particulières à la Polynésie ?
Oui, et elles sont multiples. Prenons deux exemples. Tout d'abord, une société qui dispose de plusieurs sites éparpillés sur plusieurs îles. L'absence de solutions internet professionnelles fait qu'aujourd'hui les échanges de données se font par mail, par clé USB, par fax... Cela limite grandement la disponibilité des données et met en péril leur confidentialité. Qui n'a jamais égaré une clé USB ?
Ensuite, je reprendrai l'exemple des sauvegardes. En France et dans le reste du monde, des solutions de sauvegarde en ligne (Cloud) existent. Ici on manque d'une part de solutions de ce genre et d'autre part les débits actuels ne permettent pas de mettre en place ce type de services à des couts raisonnables.
Léo Letouzey, consultant en sécurité informatique
Léo Letouzey a obtenu en 2008 un master en cryptologie et sécurité informatique à Bordeaux, puis un doctorat en Sécurité Informatique (Sécurité des Méta-Données pour le Web Sémantique) à l’UPF. Depuis, il est devenu consultant et est responsable sécurité des systèmes d’information chez Vittoria Conseil. Léo est également actif dans le monde des start-ups puisqu’il a développé la partie système et réseau de la jeune pousse polynésienne Yuxuh.
