Généralités sur les solutions de protection des données numériques

Quels sont les enjeux de la protection des données ?

La DGSI (Direction Générale de la Sécurité Intérieure) publie régulièrement des flashs relatifs aux actions d’ingérence économique dont les sociétés françaises sont victimes.

La gestion des systèmes d’information peut entraîner d’importants risques pour la sécurité des données stratégiques des entreprises françaises. Les données peuvent faire l’objet d’interceptions ou de captations à tout moment, au cours de leur acheminement sur Internet, durant leur stockage sur des serveurs à distance, lors du transfert au sein d’un autre centre de données, etc.

De plus, les serveurs de centres d’hébergement situés à l’étranger sont soumis à la réglementation locale ou, parfois-même, à la réglementation des États dont dépendent les fournisseurs qui les administrent.

Quel que soit le type d’hébergement du fournisseur et son engagement, l’entreprise est toujours responsable de la gestion de ses données.

Les engagements respectifs entre hébergeur et entreprise apparaissent soit dans le contrat, soit dans les conditions générales. Il convient d’être attentif à leur rédaction.

Lorsqu’une entreprise souscrit un engagement, elle considère la plupart du temps que c’est à l’hébergeur d’assurer une réplication des données (sauvegarde ou « redondance » en informatique). Malheureusement, des événements récents ont démontré que cette sauvegarde supplémentaire était parfois assurée au même endroit…dans une autre salle, ce qui ne constitue pas une solution de réplication des données satisfaisante, ni sécure.

Quelles sont les bonnes pratiques pour protéger ses données ?

• S’agissant des data centers localisés sur le territoire national, veiller aux conditions générales de vente et d’utilisation. Le contrat ne doit pas permettre le transfert des données hébergées en France vers un pays tiers.
• Préférer des prestataires français, ou à défaut européens, dont les serveurs sont situés dans l’Hexagone ou dans un pays membre de l’Union européenne.
• Bannir l’utilisation des services, gratuits ou non, d’hébergement dans le cloud, autorisant l’accès aux données hébergées à des fins publicitaires.
• Distinguer le traitement des données non sensibles, stockables dans le cloud, des informations à forte valeur ajoutée économique, stratégique ou financière, à conserver dans des infrastructures internes à l’entreprise.
• Procéder systématiquement au chiffrement (cryptage) de l’ensemble des données transférées sur un service d’hébergement à distance. Ce chiffrement doit être effectué par l’entreprise elle-même et non par ses prestataires, ou via les outils de ces derniers.
• Limiter les droits des utilisateurs des services dans le cloud, ne pas utiliser de compte administrateur pour les tâches quotidiennes, surveiller les historiques de connexion et assurer une gestion rigoureuse des droits d’accès (ouverture et fermeture des accès) pour éviter toute usurpation d’identité.
• Procéder à un audit des infrastructures techniques hébergeant les données de l’entreprise et s’assurer du respect des stipulations contractuelles.
• Contacter la DGSI en cas de découverte ou de suspicion d’un cas d’ingérence ou d’interception de données.
• L’entreprise doit donc vérifier que la sauvegarde de ses données est disponible sur un autre site, dans un autre endroit géographique. Ou bien chez un autre hébergeur.