Quelles solutions ?

Si le chiffrement des données paraît être une réponse naturelle à ces problèmes, beaucoup de solutions se concentrent malheureusement sur la problématique du vol de données externe. Les données concernées par cette menace sont rarement stockées dans des bases de données et applications logicielles métiers. L’expérience montre que les vols ou les pertes portent beaucoup plus souvent sur des courriels et des fichiers, qu’ils soient bureautiques ou dans des formats spéciaux. Or les informations de cette nature résident essentiellement sur les postes de travail, les serveurs de messagerie, les serveurs de fichier, et bien sûr dans des outils de travail collaboratifs. Une bonne solution doit donc être capable de gérer tous ces environnements, et tous les types de fichiers. Ensuite, il est important de réaliser que la sécurité d’une donnée doit être gérée par son détenteur : le chef de projet R&D, le directeur financier, qui sont à même d’appréhender la criticité de leurs informations. Mais pour que ce fonctionnement soit possible, il est absolument indispensable que la solution choisie soit ergonomique et intelligible pour des utilisateurs peu versés dans la sécurité et dans l’informatique. Comme ces qualités restent rares, beaucoup d’entreprises préfèrent néanmoins confier la sécurisation des données à des personnels du département informatique. Il faut alors s’assurer que la solution choisie permette de séparer clairement les pouvoirs entre ‘administrateur du système’ et ‘administrateur de la sécurité’. Cette bonne pratique élimine de facto les options de sécurisation intégrées dans les plateformes de collaboration et les systèmes d’exploitation. Pour finir, on notera qu’au moins un des deux points précédents doit être mis en oeuvre pour qu’une externalisation des systèmes d’information soit possible. Dans le cas contraire, aucune donnée ne saurait être considérée comme confidentielle. L’externalisation du SI revient en effet à externaliser la menace interne…