La sécurité des données, préoccupation de premier ordre pour les DSI en Tunisie
Le traitement, le stockage et le transfert de données sont à la fois incontournables de toute activité professionnelle et synonymes de risques. Il faut savoir que la mise en place d’une politique de sécurité au sein de l’entreprise est un investissement largement rentabilisé. Une faille informatique peut avoir d’importantes conséquences économiques :
- Perte ou diffusion d’informations sensibles mettant en péril la notoriété de l’entreprise et la confiance des clients
- Diminution de la productivité et immobilisation de la production en cas de défaillance des systèmes
- Remplacement de matériel en cas de compromission grave d’un poste de travail (malwares les plus puissants)
Les responsables informatiques ont donc la lourde tâche de proposer les infrastructures, applications et outils les plus développés, tout en supervisant strictement leur utilisation. On distingue deux grands types de risques : les menaces externes et les erreurs humaines.
Pour évaluer gratuitement votre niveau conformité aux bonnes pratiques informatiques en termes de sécurité, téléchargez notre template d’audit afin d’avoir immédiatement votre scoring >> Je télécharge
1- Les risques de sécurité externes
Ils sont de différentes natures et sont toujours dus à une intrusion sur le réseau de l’entreprise, pouvant remettre en cause l’intégrité de ses données.
- Les virus : il faut savoir que plus d’une vingtaine de nouveaux virus ou malwares sont créés chaque jour. Le niveau de dangerosité des virus dépend de leur complexité. Les spywares ou “logiciels espions” collectent et récupèrent des données personnelles et sensibles. Les vers sont des virus qui ont la capacité de se répliquer pour infecter le système d’exploitation et en altérer le fonctionnement. Les chevaux de Troie, plus insidieux, prennent l’apparence d’un programme “normal” pour récupérer ou altérer des données.
- Le piratage : les motivations des hackers sont souvent financières. Le “ransomware” repose sur la prise en otage des données de l’entreprise, rendues à leur propriétaire moyennant une somme d’argent.
2 – Les risques de sécurité internes
- On estime que 35% des incidents proviennent d’erreurs de manipulation des salariés. Un simple clic sur le lien d’un message de pishing ou le téléchargement d’un logiciel illicite peuvent ouvrir une brèche.
- Les pannes des serveurs ou du matériel hardware mettent en péril l’activité et peuvent entraîner une perte de données non sauvegardées.
Sécurité des données et réglementation en Tunisie
Au-delà des écueils financiers et organisationnels engendrés par un dysfonctionnement informatique ou un problème de sécurité, la responsabilité des dirigeants est stigmatisée par la réglementation tunisienne.
En Tunisie, la cyber-sécurité est gérée par l’ANSI (Agence Nationale de la Sécurité Informatique). Cette organisation créée en 2004 sous tutelle du Ministère des Technologies de la Communication et de l’Economie Numérique, a pour objectif de surveiller les Systèmes Informatique et réseaux publics et privés. Son rôle est multiple : veille technologique, contrôle des politiques de sécurité au sein des entreprises et des institutions.
En cas d’incident entraînant une perte de données confidentielles, les dirigeants et responsables en Tunisie sont soumis à une obligation de déclaration à l’ANSI, selon l’article 1a de la loi n° 2004-5 : “Tout exploitant d’un système informatique ou réseau, qu’il soit organisme public ou privé, doit informer immédiatement l’agence nationale de la sécurité informatique de toutes attaques, intrusions et autres perturbations susceptibles d’entraver le fonctionnement d’un autre système informatique ou réseau, afin de lui permettre de prendre les mesures nécessaires pour y faire face.”
A savoir : en Tunisie, les organismes publics et certains organismes privés ont l’obligation d’effectuer un audit périodique de leur infrastructure et réseaux. Cette obligation est soumise au contrôle de l’ANSI. Le décret n° 2004-1250 de la loi du 25 mai 2004 en fixe les conditions.
Les démarches à mettre en œuvre pour sécuriser le SI de sa PME
La mise en place d’une Politique de Sécurité du Système d’Information (PPSI) est la clé de voûte de toute entreprise qui ambitionne de déployer des solutions adaptées en matière de sécurité informatique. Celui-ci se concrétise à travers différentes actions:
- Définir l’organisation structurelle du PPSI : en premier lieu, il est indispensable de désigner des acteurs de confiance qui déploieront et superviseront la sécurité du Système d’Information.
- Rédiger un cahier des charges contenant des objectifs clairs et chiffrés, après un état des lieux approfondi. Il s’agit de définir les situations les plus à risque pour prioriser les chantiers à mettre en œuvre. Toutes les entreprises n’ont pas besoin du même arsenal en matière de sécurité et la dimension budgétaire ne doit pas être éludée.
- Sécuriser le réseau et les équipements (hardware) à l’aide de tous les moyens matériels à disposition: antivirus, Firewall, audits de sécurité automatisés et réguliers, mises à jour régulières, sauvegardes automatiques, protocoles sécurisés (HTTPS et SFTP), systèmes de détection d’intrusion.
- Instituer des règles strictes en matière d’authentification, de gestion des accès et de cryptage des ressources.
- Sensibiliser les salariés en les informant de la nécessité d’adopter les bons gestes : téléchargement des mises à jour des logiciels de sécurité (antivirus), utilisation de mots de passe complexes et dédiés à chaque activité, méfiance en cas de mails dont la provenance est inconnue, pas de téléchargements inutiles ou suspects, verrouillage systématique du poste de travail en cas d’absence.
L’anticipation des incidents
En matière de sécurité des données, la gestion des risques ne se limite pas à la prévention. Il s’agit également d’établir une marche à suivre impliquant tous les acteurs concernés, en cas d’incident (interruption d’activité, intrusion d’une menace externe, défaillance ou compromission des postes de travail, sinistre, dommages physiques).
Plan de continuité d’activité et Plan de reprise d’activité
Aucune entreprise n’est à l’abri d’une situation de crise et une faille dans la sécurité des données peut stopper une activité.
Le PCA (Plan de Continuité d’Activité) définit les actions à mettre en place pour garantir la meilleure disponibilité de l’infrastructure informatique. Il repose sur le déploiement de backups (systèmes de relève) qui peuvent prendre le relais en cas de panne ou dysfonctionnement. L’objectif est de garantir la poursuite des activités les plus stratégiques. Le PCA permet de limiter les conséquences matérielles et financières de l’incident.
Le PRA (Plan de Reprise d’Activité) a pour vocation d’améliorer la réactivité des équipes pour permettre un redémarrage rapide et dans les meilleures conditions possibles des activités après une interruption effective. Le PRA repose sur l’implication des salariés et l’utilisation de solutions matérielles (systèmes de sauvegarde, restauration de données, etc.). L’analyse de l’incident dit permettre de réévaluer la politique de sécurité en place qui devra être renforcée au besoin.
Un cas particulier : l’informatique nomade
Selon une étude menée par le cabinet Forrester Research en 2015, le cloud a permis de réaliser, au niveau mondial, plus de 4,3 millions d’économies sur les coûts informatiques (logiciels, stockage maintenance et gestion des réseaux) en l’espace de 3 ans. L’infrastructure tunisienne, de par sa qualité et son développement, est une manne d’opportunités pour les petites entreprises désirant s’affranchir des coûts liés à la gestion interne de leur SI. Néanmoins, le cloud et tous les outils qui en découlent (Smartphones, tablettes) nécessitent des exigences accrues en termes de sécurité.
La dématérialisation des données et leur consultation/traitement à distance peuvent accroître la vulnérabilité des accès. C’est notamment le cas lorsque les utilisateurs se connectent par le biais de réseaux externes à l’entreprise, qui en disposent pas du même niveau de sécurité. Les réseaux en Wi-Fi public sont particulièrement propices aux failles de sécurité.
Le cryptage des dossiers professionnels hébergés en mode cloud permet de se prémunir des potentiels risques liés au vol ou à la corruption des informations, grâce à une protection accrue des données. Cette précaution permet également aux professionnels de bloquer l’accès aux informations critiques en cas de vol ou perte des terminaux.
Etant donné que l’accès au cloud (privé ou public) nécessite une authentification des utilisateurs, il faut veiller à ce que chaque mot de passe personnel soit unique et suffisamment complexe pour échapper aux techniques de “craquage” des hackers.
Conclusion sur la sécurité des données
Pour conclure sur la sécurité des données en entreprise, on s’aperçcoit que l’évolution rapide et constante des nouvelles technologies en Tunisie permet aux PME locales de disposer de tous les outils indispensables à la conduite de leurs activités et à leur croissance. En contrepartie, celles-ci doivent se plier aux règles de sécurité et de protection des données, afin d’éviter des écueils en cas de faille technique ou humaine. Cet investissement est largement compensé par les bénéfices liés au déploiement d’une Politique de Sécurité du Système d’Information.