Auteurs Experts

aras loet Picture
aras loet
Comuniqués publiés : 70
Erwan K Picture
Erwan K
Comuniqués publiés : 58
ghizlane el fellah Picture
ghizlane el fellah
Comuniqués publiés : 54
Sylvain Lebreton Picture
Sylvain Lebreton
Comuniqués publiés : 52

Articles les mieux notés

L'e-logistique apparait aujourd'hui indispensable pour tous les e-commerçants qui souhaitent un développement fort de leurs activités. Mais qu'est ce que la e-logistique et quel prestataire choisir ?

La centrale de réservations Maroc Origines offre une sélection d'établissements hôteliers de qualité sur l'ensemble du royaume et vous propose de participer à un tourisme équitable et responsable.

Tranquillité Santé vous propose une complémentaire santé appropriée selon votre profil: que vous soyez parent ou à la retraite nous avons l'assurance santé qu'il vous faut. Devis gratuit en ligne.

Objectif Confort est une société de vente en ligne d'articles dédiées aux séniors. Société jeune mais déjà très appréciée de ses clients !

L'annuaire généraliste francophone continue à grandir.

 Picture

Quelle est la stratégie de protection des données de votre compagnie?

Par: Catherine Simon
Pour : Iron Mountain France
Date d'ajout : August 2, 2011 Lu : 1565 fois
Noter l'auteur : Actuellement : 2.29 /5
Noter le CP : Actuellement : 2.21 /5



Résumé :

Cet article est la synthèse des recherches spécialisées les plus récentes menées par Iron Mountain France en matière de gestion, de stockage, de protection et de politique sécuritaire des données des entreprises . Il fait état des incidents qui peuvent se produire dans les entreprises mettant en danger leur fonctionnement vital tout en menant des pistes de réflexions intéressantes pour pallier à d'éventuelles dérives.



Un  administrateur informatique d’une société dont le siège est en Grande-Bretagne vole quelques bandes en réserve,  dont une contient des données importantes au sujet des opérations Européennes de la société.  Afin d'essayer d'extorquer l'argent, il alerte la société anonymement et exige une rançon £275,000. La compagnie travaille étroitement avec Scotland Yard afin de créer un piège et accepte le marché. Le piège fonctionne et  le bandit est appréhendé, le crime est résolu. Voici un heureux dénouement pour chacun : les bandes sont restituées à leur propriétaire légitime sans autres dommages et la réputation de la société est sauve.

On pourrait croire que ce délit est récent or, l'incident a eu lieu il y a plus de 30 ans. Un rédacteur informatique des Imperial Chemical Industries  (industries chimiques impériales) (ICI) a subtilisé ces données en 1977. L'histoire illustre que les vols d’information et de données de sauvegarde ont des conséquences indésirables dans le commerce depuis le début. Cependant, il est à déplorer que peu d’infractions à la sécurité des informations ont la même « fin heureuse ». C'est n’est pas seulement le voleur de données qui est susceptible de tomber sous le coup de la loi. Dans la réglementation actuelle des données, n'importe quelle société en désaccord avec ces réglementations ne peut se relever suite aux dommages entachant leur réputation. Les autorités britanniques sont claires : agissez ensemble et protéger les données de vos clients ou subissez-en les conséquences !

Les informations de votre société sont-elles à l’abri ?

L'information est l'élément vital de vos affaires. Savez-vous quelle information vous détenez, qui la détient et si elle est protégée ?

Tout manquement à la gestion des données papier ou numériques peut aboutir à une catastrophe financière et ternir la réputation de la société. La mise en œuvre d’un processus sécuritaire minimal de l'information peut être très préjudiciable, mal perçu par l’opinion publique et un véritable cauchemar dans les relations clients. En outre, les législations gouvernementales, leur évolution et les nouvelles exigences d'audit mises en place pour protéger des données personnelles et confidentielles sont autant d’impératifs pour que les entreprises se mettent rapidement en conformité. Tout manquement expose les responsables à des mesures punitives, allant jusqu’à l’emprisonnement.

Établir une stratégie sécuritaire solide pour votre entreprise

Le développement d’une société accroit et complique la nécessité de gérer les informations. Les entreprises doivent être attentives aux données physiques et numériques qu'elles produisent et organiser leur gestion, stockage et protection. Jusqu’alors, cela était en dehors des fonctions des préposés à la sécurité des entreprises. Leur but était principalement de sécuriser les périmètres, détecter les intrusions, la prévention et la protection des systèmes d’hôtes. En somme, la sécurité est le talon d’Achille de l'infrastructure de stockage. La solution de la gestion documentaire  est que le stockage doit faire partie intégrante de la stratégie sécuritaire de l’entreprise autour de cinq secteurs fondamentaux :

§  Assigner les fonctions, responsabilités et la hiérarchie

§  Évaluer le risque

§  Développer un processus de protection des données

§  Communiquer le processus

§  Exécuter et tester le processus

Il est important que les responsabilités soient réparties dans les diverses fonctions afin que la tâche de préservation de l’information ne repose pas seulement sur une petite équipe. En outre, afin d'évaluer les risques potentiels, les directeurs doivent passer en revue chaque partie du processus de gestion, recherchant les failles potentielles. Ils doivent délimiter les dossiers, données et informations classées confidentielles afin de garantir un budget additionnel spécifique adéquat. En évaluant le risque, il est également impératif de prévoir des politiques et procédures adaptées afin de localiser à tout moment les données. Par exemple, les entreprises stockent les informations sur les ordinateurs portables qui peuvent également exister en double sur une commande de réseau ou des sauvegardes. Une fois que les risques de responsabilité potentielle sont délimités, un certain nombre de processus de protection des données peuvent être développés afin d’assurer à tout moment la sécurité des informations de l’entreprise.

La chaîne de détention des informations

Le premier maillon de cette chaîne est tendu et met bout à bout le processus de détention de l'information pour une bonne gestion. La chaîne de détention se réfère à l'acte, à la façon, à la manipulation, à la surveillance et/ou à la commande des médias ou de l'information. L'objectif ultime d'une chaîne de détention est de préserver l'intégrité des ressources. L'information  devrait être dépistée par des codes barres et les rapports devraient détailler la localisation des données hors site. La meilleure façon est de reporter quotidiennement la localisation des données hors site, celles qui ont expiré et celles qui devraient être recherchées, recyclées ou détruites. Des procédures habituelles devraient être mise en place afin de s’assurer de l’exécution de ces mesures. L'endroit hors site et le processus d’accès au stockage devraient être étudiés pour une sécurité optimale. Les données confidentielles devraient être placées dans des contenants verrouillés avant de quitter le centre de stockage et des contrôles réguliers devraient être mis en place. Un contrôle doit être effectué après chaque déplacement d’un contenant. Les contenants devraient être signés pour vérification et jamais exposés à des tiers. Il est important d’effectuer l'inventaire de ce qui est stocké hors site de façon régulière (au moins mensuellement) avec un matériel maintenu en interne. À la fin de chaque mois, un contrôle physique du stockage hors site devrait être comparé aux disques de sauvegardes/archives pour déceler des contradictions. Si des données ne sont pas identiques, alors des mesures appropriées doivent être prises. Si l'information est obsolète ou n’est plus fiable, elle doit être convenablement détruite. La destruction de documents confidentiels doit être effectuée par l'intermédiaire d'une société qui fournit un certificat de destruction.

Encodage

Deuxièmement, toutes les données confidentielles particulièrement si elles contiennent les informations personnelles ou des secrets commerciaux devraient être encodées lors de leur stockage ou reproduction. En outre, toutes les données transmises dans un système non privé doivent être encodées. En premier lieu, il est important d'exécuter une analyse de coût/avantage sur l’encodage de données de secours. Si une analyse de risque expose à de nombreuses difficultés, les entreprises devraient sérieusement considérer la justification de l’encodage. Ce projet devrait aller au delà des licences de programmes ou des études de coûts en elles mêmes. Il faut y inclure les coûts des tâches opérationnelles d’encodage dans le support et les processus de recouvrement des pertes, aussi bien que l'impact de l’encodage lors du rétablissement des données. Le coût total de l’encodage devrait être comparé aux risques potentiels et à une éventuelle violation de la sécurité pour déterminer l’opportunité sa mise en place de façon massive, étroite ou à exclure.

Poser les bonnes questions

Une fois que l’entreprise a défini ses procédés de gestion, de traitement et de protection des données confidentielles, il est important d’en aviser les personnes en charge de ces fonctions. La perte de données et le vol de propriété intellectuelle, c’est-à-dire la gestion de la propriété intellectuelle, sont une préoccupation professionnelle et non pas une question informatique. Par conséquent, il est essentiel que les responsables de la sécurité de l'information informent les chefs d’entreprises des risques potentiels, des menaces et des pertes éventuelles qui peuvent surgir lors d’infractions à la sécurité, ainsi que des diverses parades existantes. Cela a pour but d’aider les chefs d’entreprises dans leur prise de décision lors de l’étude du coût/avantage des systèmes de protection des données. Une infrastructure vulnérable et un personnel non qualifié sont des facteurs à risque. Les entreprises qui évaluent les risques et le personnel sont susceptibles de mettre en place des politiques, des procédures et des technologies sécuritaires afin de protéger leurs actifs.

Afin de déterminer la bonne marche du processus de protection des données et la bonne compréhension du personnel assigné à ces fonctions, les chefs d’entreprises doivent se poser un certain nombre de questions :

§   Lorsque les données changent de main, existe-t-il un processus informatique avec une personne responsable et une signature identifiant le préposé au stockage ?

§  Les employés sont-ils soumis à des vérifications afin de s’assurer que les données sont entre de bonnes mains ?

§  Le lieu de stockage est il adapté à la sécurité des données ?

§  Si un problème survenait, la communication est-elle immédiate ?

 Pour résumer

La mise en œuvre d'une stratégie de protection des données exige une planification et une préparation certaines. Avant de commencer, il faut identifier les risques potentiels intrinsèques à la gestion de l’information, puis agir sur ces vulnérabilités en mettant en application les processus appropriés. Ceci pourrait inclure l'exécution d'une chaîne de détention d’un bout à l’autre de sorte que la circulation de l’information soit actée et l’encodage des dossiers activé pour protéger les informations confidentielles contre toute infraction.

En conclusion, chacun qui contrôle, administre ou actionne l’infrastructure doit agir en parfaite conscience. La sécurité préventive des données est plus une culture de conscience qu’une directive politique d’entreprise. Pour protéger effectivement les données confidentielles d’une entreprise, une concentration continue sur les pratiques est impérative pour la réussite de la politique sécuritaire de protection de données. C’est à tout cela que se consacre Iron Mountain France.  

 





Poster un commentaire

Nom : 
Email : 
URL : 
Commentaire : 
Code :