Protection des données 3 | Analysez les risques!

Qu’est-ce que la gestion des risques? Et quelle part tient la gestion des risques IT?

Par gestion des risques, on entend "toutes les tâches et mesures nécessaires pour lutter contre les risques". La gestion des risques IT joue un rôle très important. Il s’agit de se protéger le mieux possible des cyberrisques, des cyberattaques et de la cybercriminalité. aujourd’hui, on ne garde plus les données seulement sur papiers dans des coffres-forts mais toujours plus en ligne sur des serveurs, dans des clouds, etc. Les données, sauvegardées et travaillées par les outils informatiques sont ainsi exposés à des risquesIT.
La gestion des risques IT concerne donc tous les risques liés à la sécurité des informations. La sécurité de l'information est l'ensemble des mesures techniques et non techniques qui assurent la protection de la confidentialité, de la disponibilité et de l'intégrité de l'environnement IT.

Que doivent faire les institutions pour gérer les risques IT?

En premier lieu, les institutions doivent faire l’inventaire de toutes les informations sensibles en possession de son institution. Nous en avons parlé dans l’article «Rangez vos données!».
Ensuite, les institutions doivent avoir une vue d’ensemble de leur système ou environnement IT. Nous en avons parlé dans l’article «Visualisez votre environnement IT». Une fois ces deux étapes réalisées, les institutions peuvent passer à la troisième étape, celle de l'analyse et de l'évaluation des contrôles IT.
Dans cette étape, il s’agit de repérer les points névralgiques d’un environnement IT et d’analyser si ces points sont correctement protégés ou non.

Comment les institutions peuvent-elle faire une telle analyse?

Nous proposons de faire une auto-évaluation, avec l’aide d’un spécialiste IT et en se reposant sur une marche à suivre claire. Il existe différents modèles de marche à suivre. Par exemple celle proposée par EXPERTsuisse.
Ce modèle de marche à suivre permet:

1. d’évaluer 20 domaines informatiques à l'aide d'environ 90 questions.
2. Les résultats permettent ensuite d’identifier les risques et de mettre en œuvre les mesures techniques et organisationnelles adéquates pour couvrir ces risques et, éventuellement, les assurer (par exemple avec une assurance cyberrisque).

Quels sont les points faibles les plus courants des systèmes IT des institutions?

Notre expérience nous montre que quatre points sont particulièrement problématiques.

1. Négligence dans la gestion des données
2. Absence de cryptage des données
3. Mauvaise protection antivirus
4. Système de backups incomplet

Regardons chaque point, l’un après l’autre.

La gestion des données. L'utilisation "négligente" des ressources informatiques comprend, par exemple, le transport de données sensibles du bureau à la maison à l’aide d’une clé USB. Pour éviter ces va-et-vient, nous conseillons de mettre en place une solution de login à distance sécurisée (VPN).
L’utilisation de laptops ou de téléphones mobiles privés non sécurisés pose également problème. Il est indispensable de sécuriser l’accès à ces machines (par exemple par un mot de passe ou grâce à la reconnaissance faciale). Pour faciliter cette sécurisation, nous conseillons aux institutions de fournir des laptops sécurisés à leurs collaborateurs et collaboratrices au lieu de les laisser utiliser leur propre matériel.

Le cryptage des données. Les données voyagent aussi parce qu’on les envoie, notamment par e-mail. Nous constatons que souvent les moyens techniques pour un cryptage efficace font défaut. Nous recommandons de crypter l’envoi de toute donnée sensible et des e-mails à caractère confidentiel.

La protection antivirus.Trop souvent, la protection antivirus n’est pas optimale. Nous recommandons d’actualiser régulièrement les systèmes de pare-feu à jour et de gestion des spams. Un bon système antispam identifie et bloque les mails de phishing (hameçonnage) et les mails provenant d’envois automatisés (botnets) ou d'URL malveillantes.

Les backups. Nous constatons également que les entreprises n’ont pas de système de sauvegarde des données. Ou que celui-ci est incomplet. Nous recommandons de mettre en place un système de sauvegarde qui permet toujours la récupération des données. Cela aide non seulement en cas de perte de données, mais aussi s’il faut réinitialiser les périphériques à cause d'un infection par des logiciels malveillants.