A l'occasion de la journée européenne de la protection des données, nous échangeons avec Martin Nakou Lelo, au sujet des enjeux de cyber sécurité rencontrés par ACC.

 

Pourquoi la protection des données est-elle un enjeu clé pour une entreprise, et comment intégrez-vous cette problématique dès la conception dans vos projets IT ? 

Les données pour font partie du patrimoine d’une entreprise.
Ces données sont de plusieurs types. Je peux citer : les données des salariés, les données clients, nos innovations et propriétés industrielles, les données financières, etc.
Les enjeux sont donc à la fois stratégiques, juridiques, financières et réputationnels. Les protéger n’est pas une option !

L’intégration de la protection dès la conception dans les projets IT consiste à adopter l’approche par le risque. Les experts en cybersécurité doivent comprendre le besoin métier exprimé pour définir les moyens de protection adaptés. Je vais l’illustrer par un exemple : l’IT reçoit une demande pour créer deux répertoires de stockage de données. La demande indique que l’un des répertoires sera dédié à l’équipe Finance et l’autre pour un stagiaire qui travaille au design d’un nouveau site Web. Les moyens de protection de ces deux répertoires ne seront pas les mêmes. Chacun de ces répertoires porte un besoin de sécurité différent. Un accès non autorisé à des données financières n’aurait pas les mêmes impacts qu’un accès non autorisé aux données du stagiaire. La différence réside dans le besoin de sécurité implicitement exprimé et associé à chacun des répertoires.

La conception dès la phase conception consiste à identifier le besoin de sécurité dernière chaque projet et besoin de manière à y apporter une réponse technique et ou organisationnelle cohérente et adaptée au risque. L’intégration de la sécurité dès la conception suppose aussi d’impliquer l’équipe sécurité dans les phases amont d’expression de besoin et de rédaction des cahiers de charges
.
L’encadrement des tiers est un volet important de la sécurisation du patrimoine informationnel d’une Enterprise. Cet encadrement doit commencer pendant la phase de sélection où des exigences de sécurité doivent faire partie des critères de sélection. Il se poursuivre pendant la durée de la relation contractuelle par la mise en place des plans d’assurance sécurité par exemple.

 

Quelles technologies ou solutions émergentes vous semblent les plus prometteuses pour renforcer la protection des données dans les années à venir ?

Les solutions ne sont pas émergentes, en réalité. Elles existent depuis bien longtemps.

Ce qui représente tout le paradigme de la protection est nommé DLP (Data Loss Prevention). Je ne vais pas rentrer dans les détails de cette notion. Pour simplifier, la protection, ce sont à la fois des comportements, des processus et des technologies. On ne peut protéger que ce qu’on connait. C’est celui qui crée la donnée qui en connait l’importance et la valeur !

La première étape est donc le respect de la politique de classification et de marquage de données de l’entreprise : public, Interne, confidentiel, etc.
La 2e étape est de prendre conscience de l’emplacement où on stocke la donnée. On doit savoir si c’est un emplacement ouvert à tous ou non, en fonction de la sensibilité.
Le reste, ce sont des technologies et règles de l’équipe Cybersécurité pour préserver ce qui est créé, stocké et transmis par les canaux de communication.

 

Pouvez-vous nous parler d'un projet récent où la protection des données a influencé de manière significative vos choix architecturaux ou technologiques ? 

Les exemples sont nombreux. Je peux en citer un qui consistait à faire des échanges d’informations entre une application de gestion de la maintenance et un ERP pour des raisons de contrôle de matière. Il s’agit des échanges d’interfaces appelés, dans le jargon technique API (Application Programming Interface).

Un ERP contient des données financières, des données clients entre autres. C’est donc assez sensible.
La sécurisation des échanges, dans les bonnes pratiques consiste à mettre en place des infrastructures spécifiques pour garantir la confidentialité et l’intégrité des informations échangées

 

Comment formez-vous et sensibilisez-vous vos équipes techniques aux enjeux de protection des données au quotidien ? 

La première couche de la formation est la sensibilisation générale via la plateforme dédiée du marché. Cela est qui est un tronc commun, en quelque sorte.

Le reste est le fruit de la collaboration entre les équipes :
•    L’équipe Cybersécurité définit et adapte les standards au contexte de l’entreprise
•    Les architectes techniques utilisent la robustesse et la sécurité comme les deux roues du chariot de la conception
•    Les équipes en charge des opérations au quotidien s’assurent d’appliquer et de tout maintenir en état de marche.
Cette collaboration à sur trois stades facilite l’amélioration continue par des itérations.