Management

La misère de la protection des informations sensibles en entreprises

Thierry Wellhoff, président de Wellcom [à droite], et François Belz, directeur associé, ont présenté les résultats de l'enquête OpinionWay et la démarche MISS.

L'agence de communication Wellcom a créé une méthode de gestion de l'information sensible après avoir commandé une enquête à l'institut OpinionWay dont les résultats ont été effrayants. Les entreprises françaises ne savent pas gérer les informations sensibles, vivant un doublement des fuites en sept ans pour un préjudice de 3,3 milliards d'euros, et demandent au RSSI l'impossible. Le problème est bien managérial, pas technique.

Publicité« Le travail de communicant, c'est aussi de savoir quoi ne pas communiquer : dans une partition, un musicien écrit des notes et des silences » a plaisanté Thierry Wellhoff, président de l'agence de conseil en communication Wellcom en présentant la méthode MISS (Méthode pour les Informations Sensibles et Secrètes) le 23 mars 2016. Cette méthode a été mise au point pour répondre à un manque terrible dans les entreprises clientes de l'agence : la non-gestion de la sensibilité réelle des informations. Trop d'entreprises demandent à l'IT -notamment au RSSI- de résoudre des problèmes managériaux. Et cela ne marche évidemment pas, amenant ainsi au doublement des fuites d'informations dans les entreprises françaises en sept ans, avec un préjudice de 3,3 milliards d'euros. La tendance est plutôt à la stabilité dans les autres pays.
Comme toutes les entreprises travaillant dans la communication, Wellcom gère évidemment un grand nombre d'informations sensibles liées à la stratégie de ses clients. De plus, cette agence accompagne régulièrement des entreprises en gestion de crise. Pour s'assurer que ses intuitions, liées aux situations vécues par l'agence, étaient justes, Wellcom a fait réaliser par l'institut OpinionWay une enquête auprès 400 cadres d'entreprises de plus de 50 salariés (échantillon représentatif sur les critères de tailles et de secteurs), interrogés par téléphone. Et les résultats ont de quoi effrayer.

De l'injonction paradoxale...

S'il est clair que des informations peuvent être sensibles, par exemple dans les domaines commercial (les propositions faites à des clients et en cours de négociation), technique (R&D), financier, stratégique ou ressources humaines (les montants de salaires), cette sensibilité n'est pas absolue. Thierry Wellhoff a ainsi rappelé : « les entreprises font face à des injonctions paradoxales : d'une part la valeur d'une information est liée à sa protection et sa confidentialité ; d'autre part la productivité est liée aux échanges avec des tiers. »
Cette contradiction n'est cependant qu'apparente puisqu'il s'agit que la bonne information soit convenablement partagée avec les bonnes personnes. « Si un système est trop contraignant et empêchent les gens de travailler efficacement, il sera contourné ou non-respecté » a asséné Thierry Wellhoff. Ces constats peuvent peut-être, pour certains, relever de l'évidence mais il n'en est rien. Des questions basiques comme que protéger et comment protéger ne sont pas convenablement traitées.

... à la paranoïa sans efficacité

L'aspect technique semble plus ou moins pris en compte mais, si on décrypte les résultats de l'étude OpinionWay, c'est surtout pour se donner bonne conscience. Les problèmes principaux -managériaux et stratégiques- ne sont simplement pas traités. « On se pense davantage en sécurité qu'on ne l'est en réalité » a constaté François Belz, directeur associé de Wellcom, en détaillant les résultats de l'étude. Les menaces sont globalement sous-estimées et essentiellement traitées sous un seul angle technique, comme si le RSSI pouvait tout faire par magie.
51% des cadres interrogés par OpinionWay estiment ainsi que les informations stratégiques et celles relatives aux ressources humaines sont toujours sensibles et nécessitant une protection particulière. Respectivement 31% et 33% les jugeant « souvent » dans ce cas. Plus des deux tiers des répondants jugent les informations financières, techniques, commerciales et organisationnelles comme potentiellement sensibles. 26% jugeant les informations organisationnelles comme toujours sensibles ! C'est la meilleure preuve d'une certaine paranoïa : si le moindre petit détail d'organigramme devient aussi important que la stratégie de l'entreprise à long terme, plus personne ne peut prendre au sérieux la politique de gestion des informations sensibles.

PublicitéDes moyens de protection dérisoires

Comment protéger des informations sensibles ? Déjà avec une armoire fermée à clé (81% des répondants), un coffre fort (66%) voire une pièce sécurisée (28%). Un serveur local sécurisé est le premier moyen retenu pour les données numériques (89% des répondants), devant le serveur Internet (80%) et le poste de travail dédié (78%) voire le disque dur externe dédié (70%, peut être enfermé dans l'armoire fermée à clé). Le recours au cloud n'est envisagé que par 44% des répondants.
Malgré l'évidence des constats de la police, la menace des ransomwares, du chantage ou de la demande de rançon n'est prise au sérieux que par 8% des répondants. L'intrusion dans les locaux (54%), l'intrusion dans les serveurs (44%) et l'usurpation d'identité (34%) sont en tête des menaces identifiées. Mais rappelons que la porte fermée de la pièce où se situe un serveur local est considérée comme une réponse adéquate aux menaces... Et les motivations des méchants pirates sont vues d'abord comme relevant de la fraude financière (55%), de la concurrence déloyale (51%) et en troisième position l'intelligence économique (30%).

Un risque non-mesuré et des mesures insuffisantes

Plus des deux tiers des répondants n'ont jamais estimé la valeur du risque, autrement dit le préjudice potentiel d'une rupture de confidentialité. Seuls 3% l'ont fait avec une valorisation économique ! Comment justifier des investissements -même en formation- sans valorisation du risque ?
D'ailleurs 75% des répondants font reposer la sécurité de l'information sur les technologies déjà déployées jugées suffisantes, 13% estimant que cette protection technique est essentielle mais sans doute encore insuffisante. Elle est d'ailleurs jugée nettement moindre sur les ordinateurs portables (54% de satisfaits des mesures prises) et surtout les tablettes et smartphones (32% de satisfaits, 54% qui ne voient pas l'intérêt de la chose).

Des informations sensibles à l'accès mal cadré

Si 56% des répondants revendiquent l'existence d'un système d'habilitation pour accéder aux informations sensibles, les directions habilitées laissent songeur, d'autant que la communication est généralement superficielle et destinée aux seuls « managers ». L'e-mail, l'Intranet et les tableaux d'affichage sont ainsi les moyens les plus utilisés pour sensibiliser les collaborateurs. La pertinence de la politique déployée n'est d'ailleurs que peu remise en question. 41% des répondants s'en préoccupent au moins une fois par an.
Les documents sensibles sont d'ailleurs envoyés à des extérieurs par mail dans 80% des cas. Un service de partage documentaire (de type Box) n'est utilisé que dans 10% des cas, un extranet sécurisé dans 39%. Et, de toutes façons, la grande majorité des répondants reconnaît ne pas être informée convenablement des règles applicables, notamment législatives, aux données sensibles comme les données personnelles.

Les cinq étapes de la démarche MISS

1 - Repérer les informations sensibles dans chaque thématique pouvant en abriter (marketing, relations commerciales, technologies, finances...).
2 - Classifier les informations sensibles, de « information publique » (librement diffusable) à « information secrète » (réservé à quelques personnes identifiées, la DG pouvant en être exclue) en passant par « interne » (pour les seuls collaborateurs) et « interne confidentiel » (pour une catégorie de collaborateurs).
3 - Analyser le risque réel et les conséquences de la perte de confidentialité sur chaque information. Dire « tout est sensible » aboutit à un blocage ou à un contournement.
4 - Gérer les informations sensibles en prenant les mesures appropriées (pas seulement techniques).
5 - Mettre en oeuvre une culture managériale, ce qui implique une organisation et des procédures formalisées pour fixer le niveau de confidentialité et le lever quand c'est utile (des données sur un nouveau produit n'ont plus à être secrètes une fois le produit sorti par exemple).