De nos jours, toutes les entreprises sont amenĂ©es Ă gĂ©rer un volume consĂ©quent de donnĂ©es informatiques pour pouvoir se dĂ©velopper et faire face Ă la concurrence. Si chaque donnĂ©e informatique a son importance, certaines peuvent ĂŞtre plus sensibles que d’autres. Mais quelles sont donc ces donnĂ©es sensibles en question ? DĂ©couvrez des Ă©lĂ©ments de rĂ©ponse dans cet article.
Qu’est-ce qu’une donnĂ©e informatique sensible ?
Selon la Commission Nationale Informatique et LibertĂ© (CNIL) et le Règlement GĂ©nĂ©ral de Protection des DonnĂ©es (RGPD), une donnĂ©e informatique est dite sensible lorsqu’elle peut apporter des informations sur la race ou l’ethnie, l’opinion ou la tendance politique, la religion ou la philosophie, l’appartenance Ă un syndicat d’une personne. Il peut Ă©galement s’agir de donnĂ©es gĂ©nĂ©tiques et biomĂ©triques permettant d’identifier une personne de manière physique. Les donnĂ©es qui peuvent rĂ©vĂ©ler l’Ă©tat de santĂ© ou l’orientation sexuelle d’une personne sont Ă©galement considĂ©rĂ©es comme sensibles.
Il faut faire attention Ă ne pas confondre une donnĂ©e informatique sensible et une donnĂ©e informatique Ă caractère personnel. Cette dernière dĂ©signe toute information permettant d’identifier – directement ou indirectement – une personne physique grâce Ă un ou plusieurs Ă©lĂ©ments qui lui sont propres. Il peut s’agir d’un nom et/ou d’un prĂ©nom, d’un numĂ©ro de tĂ©lĂ©phone, d’un numĂ©ro d’immatriculation, d’un numĂ©ro de sĂ©curitĂ© sociale, d’une adresse IP…
Qu’est-ce qu’une donnĂ©e informatique sensible pour une entreprise ?
Pour une entreprise, une donnĂ©e informatique est qualifiĂ©e de sensible lorsqu’elle peut apporter un avantage quelconque – Ă©conomique et/ou stratĂ©gique – et dont la divulgation, l’altĂ©ration, la destruction ou l’utilisation frauduleuse peut lui porter prĂ©judice. De manière gĂ©nĂ©rale, on distingue 5 grandes catĂ©gories de donnĂ©es informatiques sensibles en entreprise :
- Les données qui concernent les personnes : les clients et les prospects, les collaborateurs et les partenaires extérieurs, les fournisseurs…
- Les donnĂ©es qui concernent les mĂ©tiers de l’entreprise : le savoir-faire, les secrets de fabrication, les mĂ©thodes de conception, les documents de propriĂ©tĂ© intellectuelle, les plans de production, les prototypes…
- Les données stratégiques et organisationnelles : les décisions stratégiques, les orientations, les documents issus des instances de gouvernance, les projets de recrutement…
- Les donnĂ©es Ă©conomiques et financières : la trĂ©sorerie, les montages financiers, la politique tarifaire, la grille de rĂ©munĂ©ration, les budgets prĂ©visionnels, les conditions d’achat auprès des fournisseurs…
- Les donnĂ©es lĂ©gales c’est-Ă -dire toutes les informations liĂ©es aux contraintes lĂ©gales, notamment les contraintes de conformitĂ© au RGPD et autres rĂ©glementations en vigueur.
Quelles sont les obligations des entreprises sur les données informatiques sensibles ?
ConformĂ©ment au RGPD qui est en vigueur en France et sur tout le territoire europĂ©en, la collecte et l’utilisation des donnĂ©es informatiques sensibles sont formellement interdites sauf si :
- La personne concernée donne expressément et explicitement son consentement ;
- La personne concernée rend publiques de manière manifeste les informations ;
- Les données sont nécessaires à la sauvegarde de la vie humaine ;
- L’utilisation des donnĂ©es est autorisĂ©e par la CNIL et est justifiĂ©e par l’intĂ©rĂŞt public ;
- Les donnĂ©es concernent les adhĂ©rents ou les membres d’une association ou d’une organisation religieuse, politique, philosophique ou syndicale.
Le RGPD soumet Ă©galement les entreprises Ă l’obligation de protĂ©ger les donnĂ©es informatiques qu’elles collectent et exploitent, et ce, afin d’Ă©viter qu’elles ne soient altĂ©rĂ©es, dĂ©tournĂ©es, modifiĂ©es ou utilisĂ©es par des personnes malintentionnĂ©es. Dans cette optique, chaque entreprise doit prendre les mesures de sĂ©curitĂ© adĂ©quate.
Toutefois, il faut savoir que cette obligation ne concerne que les donnĂ©es informatiques sensibles des personnes physiques. Mais face Ă la recrudescence des cyber-attaques qui peuvent coĂ»ter cher aux entreprises, il est Ă©galement indispensable de sĂ©curiser de manière optimale les autres catĂ©gories de donnĂ©es sensibles de l’entreprise.
Pourquoi protĂ©ger les donnĂ©es informatiques sensibles de l’entreprise ?
Les donnĂ©es informatiques sensibles de l’entreprise attisent souvent la convoitise de personnes malintentionnĂ©es, Ă savoir notamment les hackers – les pirates informatiques – et les espions industriels. Le but Ă©tant dans la plupart des cas soit de rĂ©cupĂ©rer une somme d’argent de manière frauduleuse, soit de mettre Ă mal l’organisation de l’entreprise Ă des fins concurrentielles ou non.
Selon les Ă©tudes menĂ©es rĂ©cemment, les entreprises qui ne protègent pas ou protègent mal leurs donnĂ©es informatiques sensibles s’exposent Ă 5 risques majeurs : la fraude aux faux-fournisseurs, l’usurpation classique d’identitĂ©, la fraude au prĂ©sident, les intrusions dans les systèmes d’information et la fraude aux faux-clients.
Aujourd’hui, les cyber-attaques n’Ă©pargnent aucune entreprise, quelles que soient sa taille et son activitĂ©. Selon les statistiques, près des trois quarts des entreprises ont Ă©tĂ© victime d’une tentative de fraude en 2018 et un quart d’entre elles l’ont Ă©tĂ© plus de dix fois. Dans un contexte actuel oĂą le tĂ©lĂ©travail prend de l’ampleur, les entreprises ont tout intĂ©rĂŞt Ă redoubler de vigilance, car les conditions sont plus que jamais favorables aux cyber-attaques.
Comment protĂ©ger les donnĂ©es informatiques sensibles de l’entreprise ?
Il existe aujourd’hui diverses solutions pour la protection des donnĂ©es informatiques sensibles de l’entreprise. NetExplorer vous propose entre autres le chiffrement pour rendre toutes vos informations critiques illisibles sauf aux personnes qui disposent des autorisations nĂ©cessaires.
Cependant, pour que la protection de vos donnĂ©es informatiques sensibles soit vraiment efficace, il convient de les hiĂ©rarchiser et de les classifier en fonction de leur degrĂ© de criticitĂ©. Il n’existe pas de règle Ă©tablie pour la classification des donnĂ©es informatiques sensibles au sein d’une entreprise, mais le plus simple consiste Ă les classifier en 3 niveaux :
- Les donnĂ©es publiques dont la divulgation au grand public ne porte aucunement prĂ©judice Ă l’entreprise. C’est le cas par exemple des contacts (numĂ©ros de tĂ©lĂ©phone et adresse mail) du service client ou de l’adresse du siège de l’entreprise.
- Les donnĂ©es internes qui n’exigent pas de grandes mesures de sĂ©curitĂ© ,mais qui ne sont toutefois pas destinĂ©es Ă ĂŞtre divulguĂ©es au grand public. L’organigramme de l’entreprise peut par exemple ĂŞtre classĂ© dans cette catĂ©gorie.
- Les donnĂ©es restreintes, c’est-Ă -dire les donnĂ©es internes très sensibles dont la divulgation peut nuire Ă l’intĂ©gritĂ© financière et/ou juridique de l’entreprise. Il s’agit dans ce cas des informations personnelles des clients, des salariĂ©s, des fournisseurs et autres partenaires, des donnĂ©es d’authentification (identifiants, mots de passe)…
Libre Ă vous ensuite de rajouter d’autres niveaux en fonction des besoins de votre entreprise.
