Les pertes et fuites de données restent aujourd’hui un véritable fléau pour les entreprises. Telle a été la conclusion de l’étude menée pour la première fois en France par le Ponemon Institute pour PGP Corporation l’année dernière. Les entreprises françaises sont néanmoins conscientes de ce risque mais l’absence de réglementation stricte dans ce domaine explique notamment pourquoi la plupart des infractions/divulagations de données ne sont pas divulguées. De nombreux pays (Allemagne, Grande-Bretagne, Etats-Unis…) se sont dors et déjà dotés d’une législation imposant aux entreprises de notifier les fuites de données, traduisant une réelle volonté d’engager les entreprises dans des politiques et des actions de protection des données personnelles et confidentielles. La France suit le même chemin. En effet, une loi déposée par des Sénateurs va dans ce sens, contre l’avis du gouvernement. Adoptée par le Sénat, cette loi sur les notifications de failles de sécurité attend encore de passer l’épreuve de l’Assemblée Nationale (même si le gouvernement n’est pas à 100% favorable à ce projet de loi).
Des conséquences financières importantes
La conséquence de ces pertes de données est principalement d’ordre financière. Les conclusions de l’enquête du Ponemon Institute montrent en effet que les entreprises françaises ont subi des pertes financières moyennes estimées à 1,9 millions d’euros.
En particulier les coûts des corrections techniques des causes de ces pertes de données qui restent les plus importants. Dans de nombreux cas, les entreprises touchées vont faire appel à des experts extérieurs pour sécuriser leurs systèmes de données.
La perte de la confiance des clients reste également une conséquence commerciale importante d’une perte de données sensibles. Les clients concernés penchent généralement vers une rupture des contrats avec l’entreprise touchée par une faille de sécurité. L’entreprise victime d’une fuite d’informations confidentielles voit son image se dégrader très rapidement.
L’origine de ces pertes de données
Ces pertes de données trouvent leur origine dans plusieurs types de situations :
- Des attaques externes
- D’une défaillance du système d’information
- De négligence humaine
Ces causes impliquent notamment des erreurs commises par des prestataires extérieurs, des négligences d’employés ou des vols /pertes d’appareils mobiles.
Quelles solutions ?
Le rapport rendu par Ponemon préconise des solutions préventives pour se prémunir contre les pertes de données :
- Le chiffrement (clé USB, intégralité du disque dur…).
- Les solutions de prévention de perte des données (DLP).
- Les solutions de gestion des identités et des accès (IAM).
Les entreprises sont encouragées à mettre en place des politiques centralisées de sécurité de l’information prenant en compte les vecteurs émergents de fuite des données : les réseaux sociaux (sensibilisation du personnel), les prestataires (audit des dispositifs de sécurité des tiers avant de partager des informations sensibles), les terminaux mobiles (ordinateur portable, smartphone, clé USB…). Des solution organisationnelles peuvent être également un bon moyen de prévenir ces pertes de données. On peut notamment citer la mise en place de Plan de Continuité d’Activité ou de Reprise d’Activité.
Pour aller plus loin :
- [Commentcamarche.net] Sauvegarder les données de l’entreprises
- [itrmanager.com] Quelles solutions pour prévenirla perte de données ?
- [Wikipedia] Plan de Reprise d’Activité
- [LesEchos.fr] De la sauvegarde au Plan de Reprise d’Activité
- [Clusif] Plan de Continuité d’Activité : stratégie et solutions de secours du SI
Article rédigé par gleborek
Suite à mon billet « Revue de 5 risques bien réels pour vos données (1/2), nous allons voir aujourd’hui qu’il y a heureusement quelques solutions à mettre en place pour diminuer la probabilité d’occurrence ou/et la gravité de ces risques sur la disparition de vos données :
- Contre l’incendie :
Le moyen le plus commun pour combattre un incendie est de pulvériser de l’eau sur ce dernier : chose que tout appareil électrique et électronique a en horreur.
C’est pourquoi, en plus des systèmes de détection incendie communs à toutes les entreprises, les salles serveur des entreprises peuvent être (et même doivent selon votre police d’assurance) équipées de dispositifs d’extinction d’incendie par inertage.
Ces derniers, lors de la détection d’un début d’incendie, libère une quantité de gaz inerte (le plus souvent CO2) qui a pour vocation d’étouffer le feu et ainsi d’éviter une propagation de l’incendie et une destruction totale de vos machines.
- Contre les vols ou la perte
Comme nous l’avons vu, le vols (ou la perte) d’un périphérique mobile (plus particulièrement d’un smartphone) entraîne deux problèmes : la perte pure et simple des données et la dissémination des données dans un environnement non contrôlé.
Pour pallier à la perte des données, la solution réside, encore et toujours, dans une sauvegarde régulière de ces dernières. Les notes de dernières minutes pouvant être enregistrées au moyen d’application telles qu’Evernote, accessibles alors depuis n’importe quel appareil.
Pour la seconde problématique, il faut s’assurer de deux points relativement important :
- Empêcher l’accès aux données au moyen de chiffrement et/ou de code de verrouillage ;
- S’assurer de la possibilité de pouvoir effacer à distance l’ensemble de ces données. Au moyen, par exemple sur l’iPhone, de MobileMe ou même du code de déverouillage qui permet un effacement de la mémoire au bout de 10 essais infructueux.
- Contre la destruction par le temps ou la malveillance
S’il s’agit de garder des archives sur un support sans réécriture intensive, le support SSD semble un bon compromis. Pensez également à pouvoir s’assurer de l’intégrité et de l’authenticité des données conservées.
- Contre les risques naturels et technologiques majeurs
Des documents existent et recensent l’ensemble des risques majeurs (technologiques et naturels) d’une commune : il s’agit des Plans de Prévention des Risques Technologiques qui comprennent le volet technologique et celui lié aux risques naturels prévisibles. Ces derniers sont consultables en s’adressant aux mairies des communes concernées.
Cela permet de choisir où construire notre entreprise ou notre data-center, si nous avons le choix, ou de prendre les mesures qui s’imposent en connaissance de cause.
Conclusion :
Comme à l’accoutumée, bien loin d’être exhaustif, ces deux articles ont pour but de vous sensibiliser aux autres types de risques qui peuvent toucher votre patrimoine informationnel.
Un Plan de Continuité d’Activité (nous en avions déjà parlé sur ce blog) permet de recenser, entre autre, l’ensemble de ces risques, mais également la manière de les prévenir, ou le cas échéant, de mettre en place une organisation permettant de reprendre une activité le plus rapidement possible.
Sources / Pour aller plus loin :
Article rédigé par gleborek
Cet article est tout d’abord pour moi l’occasion de vous souhaiter à tous une très bonne année 2011, placée sous le signe de la protection des données.
Ma double sensibilité en sécurité industrielle et informationnelle me pousse à vous rappeler que les risques qui peuvent toucher vos données ne sont pas que « virtuels », il existe également les risques physiques, communs à toutes les entreprises, qui peuvent mettre en péril votre patrimoine informationnel.
Ce billet vous présentera les 5 risques les plus courants.
Parmi ces risques, nous pouvons citer :
1. L’incendie
Les incendies frappant les industries et entreprises en France font, malheureusement, des victimes chaque année (2 accidents du travail sur 10 000 en 2003 selon l’INRS) mais font également beaucoup de dégâts matériels. En effet, pour l’année 2002 par exemple, 139 sinistres ont été recensés dont 12 pour un montant de dégât (incluant la perte d’exploitation) supérieur à 8 millions d’euros.
Ces sinistres s’attaquent au patrimoine de l’entreprise, et donc également à ces ressources informationnelles : du local serveur, équipé de baies toutes neuves, à la clé USB, remplie des dernières informations essentielles à votre dernier projet, cachée dans le tiroir du bureau du patron, toutes ces données parties littéralement en fumée risquant de mener votre entreprise à sa perte !
2. Les Vols
Certains faits divers récents ont mis en lumière une recrudescence des vols dans les transports en commun, les plus souvent avec violence, des appareils mobiles de type smartphone : 50% des vols ayant lieu dans les transports en commun d’Ile de France concerne des téléphones portables et 70% d’entre eux sont des smartphones. Autre statistique : il y a eu plus de 1300 téléphones volés le mois dernier, toujours en Ile de France.
Outre le traumatisme et les dommages physiques et moraux, cela peut également avoir des conséquences plus que néfastes sur l’entreprise. En effet, adieu les derniers mémos enregistrés dans le métro, pire encore, voilà des centaines de mails et de coordonnées de contact envolés aux quatre vents….
3. La Perte
Une autre situation, beaucoup moins traumatisante qu’un vol avec violence, mais avec des conséquences identiques pour l’entreprise, est celle de la perte du périphérique mobile ou du smartphone dans un lieu public. Comme toujours dans les problématiques de sécurité, cette situation n’est pas nouvelle mais malheureusement toujours d’actualité.
4. La Destruction par le temps ou par la malveillance
Les pertes de données cela ne vous concerne pas, en effet, vous sauvegardez l’ensemble de vos fichiers méthodiquement sur CD, DVD, clées USB, tout aussi méticuleusement étiquettés…
Comment se fait-il alors que les photos de l’entrepôt de votre client prises en 2005, indispensables à cette mise à jour importante pour le dossier de votre client soient irrécupérable car le CD est illisible ? En effet, la majorité des supports de stockage n’ont qu’une durée de vie de 5 à 10 ans, ce qui ne vous met pas vraiment à l’abri …
Nous pouvons même aller plus loin : comment se fait-il que les rapports de votre ancien collaborateur, ayant quitté l’entreprise pour des raisons obscures soient également irrécupérables à cause de ces rayures énormes sur le DVD ?
5. Les Risques naturels ou technologiques majeurs
Certes, cette dernière catégorie de risque n’est pas, et heureusement, celle qui détient l’occurence d’apparition la plus élevée, mais il ne faut pas l’occulter pour autant.
Inondations, tornades, drame survenant dans une entreprise SEVESO à proximité de votre entreprise peuvent également mettre à mal l’ensemble de vos données…
Dans un prochain billet, nous listerons certains conseils à mettre en place contre ces risques.
Sources / pour aller plus loin :
Cet article consacré au Plan de Continuité d’Activité a été co-écrit il y a quelques mois avec Mélanie VIGNAUD, une ancienne camarade de promotion.
Le monde qui nous entoure est de plus en plus complexe, ce qui fragilise les entreprises. Elles sont exposées aux instabilités des marchés, à l’interdépendance des acteurs, à la mondialisation des échanges et à la diversification des risques (technologiques, géopolitiques, environnementaux, etc.).
À ceci s’ajoute les catastrophes ou sinistres de grande ampleur qui rendent plus vulnérables les entreprises, car les conséquences qui en découlent sont dévastatrices et souvent ces dernières ne s’en remettent pas. Il existe différents types de catastrophes :
- Catastrophes naturelles : tsunami dans l’Océan Indien en 2004, Ouragan Katrina aux USA en 2005 ;
- Accident ou terrorisme : Attentat de New-York en 2001, Explosion d’AZF en 2001 ;
- Défaillances d’infrastructure : coupures massives d’électricité, en septembre 2003, en Amérique du Nord ;
- Risques sanitaires : Grippe aviaire (virus H5N1) en 2006, épidémie de SRAS à Hong Kong en 2003, Grippe A.
Quels impacts sur les entreprises ? Ces incidents majeurs engendrent de multiples impacts sur l’entreprise :
- Commerciaux (pertes de clients et de parts de marché) ;
- Financiers (pertes de revenus, coûts de reprise d’activité) ;
- Juridiques (sanctions disciplinaires, financières ou pénales pour non respect d’obligations réglementaires) ;
- D’image (conséquences négatives sur l’image et la réputation de l’entreprise).
Pour se préserver de ces impacts, l’entreprise peut mettre en place un management de continuité d’activité. Le contexte réglementaire et normatif est favorable à la mise en place de cette stratégie.
Réglementaire :
- Bâle II transposé par les Décrets CRBF en France ;
- Décret CRBF 1997-02 : Plan de continuité informatique ;
- Décret CRBF 2004-02 : Plans de continuité d’activité documenté, cohérent et testé, applicable depuis le 1er juillet 2004 ;
- Décret SAIV et DNS (Directives Nationales de Sécurité) ;
- Solvency II.
Normes :
- ISO 27001 ;
- BS 25999-1 : 2006 aide à la mise en place d’un plan de continuité d’activité (PCA)
Définition, enjeux et objectifs
Avant de détailler les enjeux et les objectifs de cette stratégie, définissons ce qu’est un PCA. Il s’agit d’un ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé,
des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités (CRBF 2004-02).
Les enjeux de la mise en place d’un PCA sont de :
- Garantir la survie de l’entreprise en minimisant les impacts financiers, juridiques et d’images d’un sinistre grave ;
- Favoriser la conquête de marché en rassurant les clients sur la sécurité de leurs intérêts en cas de sinistre ;
- Répondre aux obligations légales pour les facteurs financiers (Règlement CRBF 1997-02).
Les objectifs d’un PCA sont :
- Anticiper et maîtriser les risques opérationnels de grande envergure ;
- Analyser et réduire les impacts potentiels d’une interruption d’activité.
La mise en œuvre d’un PCA
On peut diviser la démarche de mise en œuvre d’un PCA en trois grandes phases :
- L’identification des enjeux :
C’est l’étape indispensable à la réussite du projet, l’identification des enjeux doit être réalisée avec la Direction Générale. Elle doit permettre de déterminer les enjeux auxquels doit répondre le PCA (par exemple : garantir le Chiffre d’Affaires, garder la confiance des clients, conserver son image de marque, tenir ses engagements avec des tiers en cas de crise…)
- L’analyse des risques :
Elle est réalisée par le Risk Manager de l’entreprise, elle va mettre en évidence, à l’aide de méthodes et outils (AMDEC, HAZOP, EBIOS, MEHARI…), les menaces et les scénarios que nous allons prendre en compte dans le PCA. Les scénarios les plus communs sont : destruction des bâtiments, perte du système d’informations, sabotage…
- L’Analyse d’Impact des Activités économiques :
Elle sera menée en collaboration avec les directions de chaque métier de l’entreprise. Son but est d’identifier les processus critiques de l’entreprise et de déterminer les enjeux et les conséquences de l’arrêt de ces processus (évaluation des impacts financiers, clients, réglementaires, …)
Ces trois phases vont permettre de mettre la lumière sur les besoins de continuité de l’entreprise. C’est-à-dire d’identifier les processus critiques qui, en cas de crise, sont les plus critiques. Il faudra donc mettre en place des solutions de secours qui vont permettre de faire fonctionner ces processus en mode dégradé et de les faire redémarrer le plus rapidement possible.
La conception du PCA
4 grandes étapes jalonnent la mise en pratique d’un Plan de
Continuité d’Activité opérationnel.
1) L’identification des besoins de continuité :
Deux facteurs rentrent généralement en compte pour déterminer ces besoins de continuité. On retrouve le Délai Maximal d’Interruption Admissible et la Perte Maximale de Données Tolérable. Les solutions de secours qui seront définies par la suite devront être en adéquation avec ces valeurs. Par exemple, si un processus critique de l’entreprise ne doit, en aucun cas, rester arrêté pendant plus de 4h, la solution de secours prévue doit permettre une reprise d’activité en moins de 4h. Quelques exemples de solutions de secours : local de repli, backup informatique, salle de gestion de crise…
2) La base documentaire :
C’est un pilier indispensable à tout PCA. Toutes les procédures de continuité doivent être formalisées (du plan d’alerte, au plan de gestion de crise en passant par le plan de secours informatique). Il doit être adapté au contexte, être à jour, testé et être disponible en cas de sinistre.
3) La validation :
Un PCA ne sera jamais opérationnel s’il n’est pas testé régulièrement. La validation va permettre, à travers un exercice, de déceler les incohérences et insuffisances du système établi, d’améliorer les
procédures et surtout d’entraîner et de s’assurer que les acteurs de la continuité d’activité sont formés et familiarisés avec leurs rôles et responsabilités respectives.
L’exercice se présentera sous la forme d’une simulation d’un scénario de sinistre et il donnera lieu à un plan d’action d’amélioration du PCA.
4) Le Maintien en Conditions Opérationnelles :
Le PCA doit vivre, au risque de finir, comme beaucoup de documents en entreprise, au fond d’un tiroir. La tendance est de passer de la notion de Plan de Continuité à un Management de la Continuité d’Activité qui viendra se greffer aux systèmes de management de la qualité, de la sécurité et de l’environnement.
Le PCA doit rester à jour par rapport aux processus de l’entreprise et à leurs évolutions (techniques, technologiques, économiques, réglementaires…) et ce maintien en conditions opérationnelles doit être planifié et formalisé. On retrouve dans cette dernière étape une analogie avec la notion d’amélioration continue.
Pour conclure, le PCA est une problématique qui s’inscrit, malheureusement, parfaitement dans le contexte actuel. Dans ces temps de crise financière et de multiplication des risques (fraudes, terrorisme, catastrophes naturelles…), les entreprises quelques soient leurs tailles devraient s’interroger plus sérieusement sur leurs besoins en continuité d’activité et sur leurs capacités à gérer efficacement des crises…
Quelques chiffres :
- Lorsqu’elles n’y sont pas préparées, 43 % des entreprises ferment au moment d’un sinistre, et 29 % de celles qui survivent disparaissent dans les 2 ans qui suivent.
- 36% des entreprises qui ont un PCA le testent au moins une fois par an.
Source :
