[En pratique] Comment sécuriser efficacement ses données clients ?

Un tiers des professionnels du marketing travaillent à domicile deux à quatre jours par semaine, selon une étude réalisée, en 2014, par l'institut Opinion Matters pour le compte d'Iron Mountain (spécialiste des risques associés à la protection et à la conservation de l'information). 48% d'entre eux échangent des documents liés au travail sur leur boîte mail personnelle, parfois même via un réseau sans fil non sécurisé (12%). Cependant, seul un tiers des employeurs interrogés ont un accès sécurisé à l'intranet ou des règles pour traiter les informations sensibles. Pourtant, en 2011, Sony s'est fait dérober les coordonnées bancaires de millions d'utilisateurs de sa plateforme Play Station Network. Attention : selon le Code pénal, "tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d'information) et adaptées à la nature des données et aux risques présentés par le traitement". Le non-respect de cette obligation est passible de cinq ans d'emprisonnement et de 300000 euros d'amende.

1. Systématiser l'usage du VPN

Parmi les évolutions les plus notables des usages, le BYOD (Bring Your Own Device) complique sensiblement la tâche des responsables de la sécurité informatique, qui ne sont plus maîtres de la sécurité des équipements informatiques utilisés par les salariés. Aussi, pour éviter que les données ne soient interceptées par une personne mal intentionnée, il convient de généraliser le recours au VPN. Acronyme de Virtual Private Network, il permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), qui autorise le transit des données sécurisées par des algorithmes de cryptographie. De cette façon, lorsqu'un utilisateur accède au réseau privé virtuel, sa requête est transmise en clair au système passerelle, qui se connecte au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis transmet la requête de façon chiffrée.

2. Multiplier les sécurités

Si la sécurité totale n'existe pas, il est toutefois possible de compliquer la tâche aux indélicats en multipliant les couches de protection. Sécuriser le front office, c'est bien, mais il faut négliger ni le back-office ni les passerelles qui existent entre les deux. Les différentes strates de protections d'abord déployées sur les accès serveurs, puis sur les accès aux bases, et les protocoles d'extraction de données sont autant de freins qui ralentissent l'action des personnes mal intentionnées. Des freins qui au mieux découragent, au pire permettent de gagner du temps.

3. Bien équiper ses salariés

Le plus sage est de fournir à ses salariés du matériel dont on contrôle la maintenance et la sécurisation. Ainsi, l'entreprise garde la main sur les applications installées sur les machines. Une autre bonne pratique consiste à installer des logiciels de destruction de données à distance, utiles en cas de vol ou de perte du matériel. Mais il est de plus en plus difficile d'imposer aux salariés, toujours plus nomades, d'accepter ce genre de politique.

4. Généraliser le chiffrement des échanges

Lorsque les données transitent d'un serveur à un ordinateur, elles peuvent être interceptées. Le risque zéro n'existe pas, mais il est possible de rendre les données illisibles à celui qui ne dispose pas d'une clé donnée. C'est ce que l'on appelle le cryptage SSL (pour Secure Socket Layer). Un moyen pour sécuriser les échanges de données avec l'extérieur. Il est aussi crucial de déployer de tels protocoles de sécurisation sur l'ensemble des interfaces, y compris au sein de l'entreprise. L'usage d'applications en mode Saas rend encore plus indispensable l'usage de solutions de chiffrement.