En tant que dirigeant ou administrateur, vous pouvez constater au quotidien la grande complexité qui accompagne la marche de vos activités : internationalisation des équipes et des flux d’information et diversification des produits et des marchés. Soit autant de décisions de gestion qui sont prises en conseil d’administration ou en comité de direction nécessitant la sécurisation des données sensibles.
Depuis plus de 20 ans, l’essentiel de l’information stratégique de vos conseils et comités circule par e-mail en comportant souvent des pièces jointes non protégées, ou parfois encore en format papier.
L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) précise ainsi dans son rapport sur la sécurité numérique des dirigeants [1] que "e; penser la sécurité de son SI, c’est une composante essentielle des enjeux économique, stratégique et d’image relevant de votre responsabilité de dirigeant "e;.
Ce rapport démontre que les dirigeants ou administrateurs non vigilants sur la politique de sécurité et sur les aspects de confidentialité exposent leur organisation à des risques importants de fuites qui peuvent déboucher sur de la perte d’information à caractère stratégique.
Mais la question de la confidentialité ne se résume pas seulement à la sécurisation des systèmes d'information et la traçabilité des accès aux informations stratégiques est particulièrement clé. Celle-ci n'étant par ailleurs pas possible via email.
Notre objectif dans cet article est de vous sensibiliser aux enjeux et aux méthodes de sécurisation de l’information stratégique, dans une optique de limiter au maximum les risques de perte d’information qui pourraient s’avérer dommageables pour l’organisation.
Sécurisation des données sensibles : Une priorité pour tout type d’organisation.
La sensibilité de l’information concerne votre organisation autant que toutes les autres.
Nous insistons dans cet article sur le fait que tout type d’information, même non stratégique, peut être intéressante à l'intérieur comme à l'extérieur de votre organisation à partir du moment où elle est confidentielle.
La sécurisation des données concerne ainsi tous les types d’organisation publique ou privée, de la fondation à l’entreprise cotée, en passant par la PME régionale et l’association.
Les parties prenantes d’éventuelles fuites d’information sont nombreuses, et souvent davantage involontaires que volontaires : salariés ou anciens salariés, investisseurs, concurrents, clients, fournisseurs, États ou agences gouvernementales, et seulement dans de rares cas des hacktivistes.
Le conseil d’administration ou le comité de direction de votre organisation a souvent accès à de l’information sensible. Elle est très souvent non publiée à juste titre puisqu’elle sert à définir les grandes orientations de l’activité.
La confidentialité crée ainsi un privilège pour l'instance en interne par rapport au reste de l’organisation, et en externe par rapport aux concurrents ou aux investisseurs : données financières, orientations stratégiques, recrutements clés, politique salariale, portefeuille clients, données à caractère personnel etc.
La moindre information non publiée, même apparemment insignifiante, peut être relayée par les réseaux sociaux ou les médias à une vitesse dépassant l’entendement si jamais elle était amenée à se trouver entre les mains de la mauvaise personne, qu’elle soit mal intentionnée ou non.
A titre illustratif, une association militante environnementale serait mise en difficulté si le programme de ses opérations de terrain était divulgué. Une fondation apprécierait peu que la liste des données personnelles de ses contributeurs soit rendue publique malgré ses engagements de confidentialité et de protection des données.
La sensibilité de l’information qui passe par les instances de gouvernance de votre organisation est donc absolument critique.
Nous avons collectivement pris l’habitude de communiquer par e-mail, ou par des formats électroniques dont le manque de traçabilité au travers des serveurs est problématique. Le risque de fuite d’information, y compris par négligence, est d'autant plus fréquent que la destruction des documents en format papier reste encore utopique dans nos organisations.
Qu’est-ce que la maîtrise de l’information ?
Ce constat étant fait, nous pouvons à présent introduire les enjeux de maîtrise de l’information au sein de vos organisations de travail. Mais maîtriser l’information, que cela veut-il dire exactement ?
La maîtrise de l’information c’est avant tout pour son émetteur la garantie d’être en capacité de savoir à tout moment qui est en possession de celle-ci et la possibilité d’en révoquer l’accès à ce dernier si nécessaire. Partant de ce principe, il est à nos yeux fondamental d’élargir ce degré de maîtrise à tous les flux d’information qui transitent au sein de votre organisation, en ayant pour objectif de sécuriser l’ensemble de ces canaux.
Par construction, la circulation de l’information par e-mail ne rend absolument pas possible un tel degré de maîtrise. Dans le cadre de l’organisation d’un conseil d’administration ou d’un comité de direction, le transfert de l’ordre du jour et des documents préparatoires sont souvent transmis par e-mail et reçus par les intéressés ou leurs assistantes. Souvent imprimés ou transférés, ces e-mails ne permettent alors pas la maîtrise du processus d’information.
De la même façon que le support papier expose votre organisation à des fuites, le transfert par documents non sécurisés ou même la protection par un mot de passe ne constituent pas une alternative satisfaisante. Par ailleurs, avoir des mots de passe sur chaque document en complexifie l'accès à toutes les parties prenantes, ce qui ne facilite pas la préparation des réunions.
Quelles sont les critères d’exposition des dirigeants à la fuite d’information ?
Souvent les enjeux de sécurité informatique des informations peuvent vous sembler assez lointains de vos préoccupations quotidiennes. Il n’en est rien !
Les simples situations suivantes peuvent vous exposer quotidiennement à des situations potentielles de fuites d’information :
- Si vous êtes membre du comité de direction ou du conseil d’administration d’une organisation. Si, au titre de ces fonctions, vous communiquez principalement par e-mail, et utilisez des documents en format électroniques non-protégés et non traçables sur serveurs et/ou en format papier.
- Si vous sauvegardez des informations sensibles dans votre boite mail, sur un serveur non sécurisé ou sur votre machine professionnelle ou personnelle.
- Si vous n’utilisez pas une solution de dématérialisation pour l'organisation de vos réunions stratégiques.
Les solutions pour maîtriser simplement et durablement les informations non publiques.
Nous tenons à rappeler tout d’abord que pour nous, la confidentialité de l’information et le contrôle de sa diffusion ne doivent jamais altérer la fluidité des échanges lors de l’organisation des réunions de gouvernance.
Nous vous recommandons de mettre en place une sécurisation des données sur l’ensemble de sa chaîne de circulation : la communication de l’ordre du jour, l’échange des documents préparatoires, les interactions entre administrateurs et dirigeants au sujet des points prévus, la transmission des comptes-rendus, et enfin le suivi des actions post-réunion.
Bien entendu, tout ce travail de sécurisation des données sensibles ne doit pas nuire à la fluidité des échanges entre les dirigeants. Nous pensons qu’il est important que la finalité recherchée en termes de niveau de sécurité des données ne soit pas être dissonante avec la finalité atteinte en termes d’organisation du travail.
L’objectif de la maîtrise de l’information stratégique est donc double : protéger les flux de communication et les documents importants, tout en améliorant la performance des échanges. Si nous échouons à ces deux objectifs simultanés, l’organisation risque de revoir apparaître des communications "e; off the grid "e; non sécurisées avec les mêmes probabilités de fuite.
Au vu de tous ces risques et et de votre obligation de sécurité des données informatiques, nous ne pouvons que vous recommander de vous doter d'un système performant permettant la sécurisation des données et la traçabilité des informations confidentielles sur l'ensemble de la"chaîne de valeur" évoquée ci-dessus. L'application iBabs (www.iBabs.eu) est selon nous le système de référence dans le traitement de toutes ces problématiques informationnelles liées à la gouvernance des organisations.
[1] CEIPIG, ANSSI. L'essentiel de la sécurité numérique pour les dirigeants. p.5, Paris, éd. Eyrolles, 2017.
