5. Vérifier les certifications

En avril 2014, Orange a notifié à la Cnil une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, concernant les données personnelles de près de 1,3 million de clients. Le préjudice sur l'image est souvent bien plus grand que le préjudice matériel. En effet, même si vous avez déployé un arsenal de protocoles de sécurité, vous demeurez à la merci des agissements des prestataires à qui vous avez fait confiance... Avant de signer un accord, vérifiez leurs certifications (ISO 27001 par exemple qui garantit un certain niveau de sécurité de l'information) et surtout n'hésitez pas à les mettre à l'épreuve...

6. Gérer les profils d'accès

Une bonne sécurité nécessite une gestion très scrupuleuse des comptes utilisateurs. Il convient de créer des profils très segmentés, d'octroyer des privilèges d'accès à certains utilisateurs, liés à certaines opérations. La gestion des comptes permet non seulement de contrôler les interactions des salariés avec le fichier client, mais aussi d'obtenir une traçabilité précise des opérations. Lorsque des dysfonctionnements sont repérés, il est ainsi possible d'identifier celui qui a mis en péril l'intégrité des données et de corriger le tir plus rapidement.

7. Effectuer des analyses

Lorsque les attaques sont insidieuses, elles peuvent mettre du temps à être détectées. On parle alors de Menace Persistante Avancée (ou APT pour Advanced Persistant Threat). Ces attaques s'appuient sur l'incorporation et l'exécution réussies de codes malveillants sur un réseau. Or, il existe des moyens pour repérer les indésirables, qui laissent toujours des traces de leur intrusion. Dans le cas d'un espion présumé, il faut le pousser à commettre des erreurs pour l'identifier et le confondre en analysant les flux de données afin de détecter les anomalies éventuelles. Parmi les fonctions d'Actito (une solution de marketing relationnel) par exemple, des algorithmes veillent en permanence sur les données marketing, détectent la moindre anomalie et lancent des alertes en cas de comportement suspect.

8. Simuler des attaques

Bien souvent, les systèmes de sécurisation des données sont soumis à des "crash tests". Mais qu'en est-il des utilisateurs? Il convient de les soumettre, eux aussi, à de vraies fausses tentatives de phishing pour essayer de leur faire divulguer leurs mots de passe. Ainsi, on peut détecter les maillons faibles et leur rappeler les bonnes pratiques à mettre en oeuvre. Chez Actito, on a recours aux services de Qualys, qui se charge de lancer des attaques sur les infrastructures, les serveurs et les données.