Interview
Transformation Digitale & Sécurité

A l’heure ou la digitalisation des entreprises a pris un nouvel essor ces dernières années, la sécurité informatique prend une place importante dans la stratégie de l’entreprise : ce qui la rend plus compétitive, la rend aussi plus vulnérable. Partage de données, mobilités des applications, ouverture de ses systèmes d’information à des partenaires, … : les risques de piratage ou d’intrusions sont réels mais trop souvent traités partiellement.

La sécurité informatique est un sujet très visible actuellement. Comment expliquez-vous que des failles existent encore ?

Généralement, la réponse aux risques d’intrusion et de vol d’informations se limite à une approche technique, comme la mise en place de « firewall », d’un VPN, d’un système d’authentification fort, de clé privée /public, ou encore de cryptage. Or, ces mécanismes contrarient les pratiques des salariés, ils vont donc chercher à les contourner : c’est humain. Je pense notamment au partage de document. Si cette action dans un espace sécurisé demande une succession d’actions trop laborieuses au quotidien, le réflexe sera de l’envoyer par un autre biais, par exemple un mail personnel, ou un espace de partage sur un système public : c’est plus rapide pour le collaborateur mais c’est aussi le début de la vulnérabilité.

L’information dite non structurée qui circule dans les documents, mails, etc…contient toujours une partie importante l’information à sécuriser dans l’entreprise. C’est pour cette raison que la majeure partie des intrusions arrive par des biais sociaux : un mail piégé, un contact avec un salarié, des clés USB piraté.

Selon vous, quelle démarche les entreprises devraient-elles adopter ?

L’erreur à ne pas commettre, c’est de limiter sa sécurité informatique à la mise en place de systèmes techniques. La bonne façon de raisonner pour éviter les contournements et les failles de sécurité consiste à analyser les pratiques des employés, et mettre en œuvre une gouvernance de l’accès à la donnée pragmatique et pratique.

Je pense par exemple à une expérience vécue au sein d’un grand compte. Le contenu des réponses aux appels d’offre, souvent sensibles, étaient stockés dans une GED (Gestion électronique de documents). Chaque mot de passe devait être modifié dès la première connexion, le mot de passe par défaut était le nom de famille du salarié. Pour tester, nous avons saisi le nom du président qui ne s’était jamais connecté et nous avons réussi à accéder à la GED. Évidemment, compte tenu de son grade hiérarchique, il avait accès à l’ensemble des documents. Cette erreur dans la gouvernance de l’information aurait pu entraîner une faille de sécurité énorme.

Je pense que le bon sens et l’efficacité opérationnelle doivent être les lignes directrices pour protéger son SI.