Avec le développement des technologies de l'information et de la communication, le système informatique des PME est de plus en plus ouvert et vulnérable. Les menaces qui pèsent sur le système d'information de l'entreprise peuvent avoir de graves conséquences. C'est pourquoi, il convient de les identifier afin de mettre en place une politique de sécurité. 

1- Les enjeux de la sécurité informatique pour l'entreprise

La perte, la destruction, l'altération ou la divulgation de ses données peuvent avoir de graves conséquences pour l'entreprise qui en est victime : 

> publication d'informations confidentielles, diffusion de secrets de fabrication ;

> blocage ou ralentissement du fonctionnement de l'entreprise ; 

> perte d'image et de confiance auprès des consommateurs. 

Depuis le 25 mai 2018, toutes les entreprises sont assujetties à une réglementation protégeant les données personnelles de leurs clients ou partenaires. Le non-respect de cette réglementation peut induire plusieurs risques pour l'entreprise : 

> risque financier en raison des amendes encourues ;

> risque pénal ; 

> risque commercial de perte de confiance auprès des consommateurs qui peuvent se détourner d'une entreprise ne respectant pas leurs données personnelles. 

2- Les menaces sur le système informatique

Trois types de menaces pèsent sur les données de l'entreprise. 

  • Les accidents : événements naturels (incendie, inondation...), problèmes techniques électriques ou de télécommunication, panne de matériel, événements ponctuels (choc, chute, effets électromagnétiques) 

  • Les erreurs d'utilisation (erreur de saisie, mauvaise application de procédure...), de conception de logiciels (bogue) ou erreurs lors de l'exploitation des systèmes. 

  • La malveillance : vol, fraude (utilisation non autorisée de données), sabotage physique ou logiciel, attaques logicielles, divulgation d'informations confidentielles. 

3- Les objectifs d'une politique de sécurité informatique

La politique de sécurité informatique vise plusieurs objectifs. 

  • L'intégrité des données : elles ne doivent pas subir de modifications non autorisées. • La confidentialité de l'information et des échanges : seuls les utilisateurs habilités peuvent avoir accès aux données, ce qui implique leur authentification. 

  • La disponibilité des services : les données doivent être accessibles aux utilisateurs sur la plage horaire souhaitée, voire en permanence (pas d'interruption). 

  • La traçabilité des opérations : il doit être possible de retrouver toutes les modifications qui ont été effectuées sur des données, ainsi que leurs auteurs. 

  • La non répudiation des transactions : il est possible d'attester l'origine des nouvelles données et la destination des données extraites. 

  • Le respect de la réglementation : la gestion des données doit respecter les règles juridiques et techniques en vigueur. 

4- Les mesures de protection

A. La sécurité physique

La sécurité physique peut se traduire par différentes protections : 

  • protection des variations de tension électrique à l'aide d'un onduleur ; 

  • protection des accès aux locaux

  • protection de l'environnement (température...)

B. La sécurité matérielle et logiciel

Plusieurs systèmes peuvent être mis en place : 

  • Système d'authentification d'utilisateurs (mot de passe, carte à puce, empreinte digitale) et gestion des droits d'accès. 

  • Pare-feu (firewall) destiné à empêcher les intrusions sur le réseau de l'entreprise et la circulation de flux de données non autorisés susceptibles d'infecter les équipements.

  • Suite de sécurité mise à jour régulièrement (logiciels anti-virus) ; 

  • Utilisation de réseaux privés virtuels chiffrés (VPN) pour les accès depuis l'extérieur. 

  • Filtre anti-spam destiné à éliminer les pourriels des boîtes aux lettres électroniques.  

  • Redondance des données sur les disques (RAID) ; 

C. Le comportement des utilisateurs

Les utilisateurs doivent être sensibilisés à quelques mesures : 

> veiller à ne pas se faire voler son portable ou sa clé USB ;

> effectuer des sauvegardes régulières ; 

> organiser et nettoyer régulièrement sa boîte aux lettres électronique ; 

> ne pas diffuser inutilement son adresse de messagerie ou répondre à un message non attendu, ne pas transférer un message à tout son carnet d'adresses. 

D. La politique de sauvegarde

Elle consiste à définir le type de données à sauvegarder, la fréquence des sauvegardes, la méthode de sauvegarde (complète, différentielle ou incrémentale), les supports de sauvegarde, la stratégie de conservation des supports, le ou les lieux de stockage des supports. La sauvegarde est assurée grâce à des logiciels spécialisés. 

E. Le respect du règlement général sur la protection des données (RGPD)

L'entreprise doit veiller à se mettre en conformité avec les obligations du règlement. 

Dans certains cas, elle doit même nommer un délégué à la protection des données. 

Ce règlement implique notamment : 

> d'être en mesure de prouver sa conformité au RGPD à la CNIL ; 

> de protéger les données en mettant en oeuvre des mesures de sécurité et des règles de gestion 

> de répondre aux demandes d'effacement ou de rectification des utilisateurs (obtenir le consentement des clients ou prospects et bien mettre en évidence.