Certaines entreprises comme GoDaddy n’hésitent pas à lancer de fausses attaques — parfois cruelles — afin de voir quels employés mordent à l’hameçon. (Photo: 123RF)
LES GRANDS DE LA COMPTABILITÉ. Assurer la gouvernance des données de manière structurée facilite à la fois leur protection et leur mise en valeur. Voici quelques trucs pour établir des bases solides, offerts par Nicola Vizioli, associé pour le groupe Cybersécurité d’EY Canada, et Éric Aubailly, associé et chef national de la gamme des services-conseils dans le secteur des technologies à BDO Canada.
Rédiger une politique de gestion des données
«Les entreprises devraient se doter d’une politique de gestion des données et nommer une personne responsable de ce dossier», conseille Nicola Vizioli. Cette politique n’a pas à entrer dans tous les détails des opérations au quotidien. Elle doit plutôt indiquer les grandes règles de gouvernance des données afin de s’assurer qu’elles sont toujours administrées de manière uniforme par les personnes appropriées et qu’elles servent les bons objectifs.
Dresser un inventaire des données
Les organisations collectent des tas de données financières et non financières, sans toujours avoir une évaluation claire de ce butin. «Le plus important, au départ, consiste à dresser un inventaire complet des données que l’entreprise amasse et traite, ainsi que de celles qu’elle conserve, et d’établir les risques qu’elles représentent pour la firme, les clients ou le personnel», avance Nicola Vizioli.
Selon lui, la bataille est aux deux tiers gagnée à partir du moment où l’on a réussi cet exercice, puisque l’organisation arrive ainsi à comprendre la nature des informations qu’elle a entre les mains. «On ne peut pas protéger ce que l’on ne sait pas que l’on possède», rappelle Nicola Vizioli.
Segmenter les données
«Plus on protège les données, plus ça coûte cher, donc on ne peut pas sécuriser tous les types de données de la même manière», indique Éric Aubailly.
Les entreprises ont intérêt à déterminer quelles sont les informations les plus critiques, stratégiques ou confidentielles et qui, pour cette raison, nécessitent un plus haut degré de défense. Dans certains cas, cela relève des lois sur la protection des renseignements personnels ou de la conformité imposées dans un secteur d’activité. Chaque type de donnée se verra ensuite attribué des mesures de protection particulières en fonction de son importance.
Protéger les données
Nicola Vizioli conseille de multiplier les contrôles pour augmenter la sécurisation des données. «On peut imaginer un oignon, duquel chaque pelure représenterait un niveau de contrôle supplémentaire», illustre-t-il.
La première mesure de sécurité concerne l’accès accordé. Seules les personnes qui ont besoin d’une donnée dans le cadre d’un projet ou de leur fonction devraient y avoir accès. Cela vaut autant pour les informations des employés et des clients que celles qui ont une importance stratégique pour la firme.
Certaines données critiques doivent être chiffrées ou protégées par différents moyens technologiques. Les entreprises devraient aussi disposer d’alarmes pour les avertir lorsqu’une donnée fait l’objet d’un accès douteux et de méthodes de confinement afin de limiter les dégâts en cas de problème.
Assurer l’accessibilité et l’intégrité des données
«On parle souvent de protéger les données des risques de vol, mais on doit également assurer leur accessibilité et leur intégrité, notamment dans le cas des données financières», prévient Éric Aubailly. On peut par exemple héberger des renseignements à deux endroits différents, pour en conserver l’accessibilité en cas de problème, même temporaire, avec un serveur. On doit aussi pouvoir certifier que les données n’ont pas été manipulées ou modifiées de manière en à réduire le niveau d’intégrité.
Former ses employés
Impossible de trop insister sur la formation des travailleurs lorsqu’il est question de gestion et de protection de données. Leurs vols résultent souvent d’erreurs de bonne foi provenant d’employés qui ont malencontreusement cliqué sur un lien frauduleux, transmis des informations à une personne qui se faisait passer pour un dirigeant ou utilisé un mot de passe ridiculement simple. «Il reste très important d’offrir régulièrement des formations sur les façons d’utiliser et d’échanger des données de manière sécuritaire et de repérer les employés qui peuvent présenter des lacunes à cet égard», confirme Nicola Vizioli.
Certaines entreprises n’hésitent pas à avoir recours à des firmes qui lancent de fausses attaques afin de voir quels employés mordent à l’hameçon. Encore faut-il procéder avec un certain doigté. En décembre dernier, 500 travailleurs de la société GoDaddy ont reçu un courriel leur annonçant qu’ils pouvaient toucher un bonus de Noël de 650$ US et leur enjoignant d’inscrire certaines informations personnelles sur un formulaire. Il s’agissait d’un test de sécurité. Non seulement le bonus n’existait pas, mais plusieurs employés se sont fait réprimander pour avoir échoué au test. Considéré un peu trop cruel envers des salariés qui naviguaient en pleine pandémie, l’exercice a causé un tollé dans les médias et GoDaddy a dû s’excuser auprès de son personnel.
