Imaginez une liste de cadeaux de Noël soigneusement préparée, rangée dans un dictionnaire épais à votre bureau. La page où figure le mot « Noël » dissimule cette liste précieuse. Personne ne devrait, en théorie, la découvrir. Mais si, par malchance, quelqu’un tombe dessus, il se retrouvera face à une liste cryptée en japonais. Un stratagème astucieux, non ? C’est ainsi que je compare la gestion de la sécurité de l’information : une danse délicate entre cachette et cryptage, pour protéger vos données les plus sensibles.
Qu’est-ce que la Sécurité de l’Information ?
La sécurité de l’information consiste à protéger les données et les systèmes d’information contre des accès non autorisés, des perturbations, des modifications ou des destructions, qu’elles soient intentionnelles ou non. En termes plus simples, il s’agit de s’assurer que vos informations restent confidentielles, intègres et disponibles – un concept souvent désigné par le triangle CIA (Confidentialité, Intégrité, Disponibilité).
Pourtant, la réalité est souvent plus nuancée. Tout comme cacher votre liste de cadeaux, il ne suffit pas de simplement verrouiller une porte. Il faut également s’assurer que les bonnes personnes aient accès, que les données restent intactes et qu’elles soient disponibles lorsque vous en avez besoin.
L’Importance du GDPR
Le GDPR ne mentionne pas explicitement le terme de « sécurité des données », mais il contient des dispositions en lien avec la sécurité dans le cadre de la protection des données. La sécurité des données est donc l’un des principes fondamentaux du GDPR, attendue des organisations pour prévenir tout traitement non autorisé ou illicite des données, ainsi que toute perte, destruction ou dommage accidentel.
Imaginez que votre ordinateur portable soit volé. Si les données étaient chiffrées, vous n’auriez pas besoin d’informer vos clients d’une violation de données, ce qui sauverait l’image de marque que votre service marketing a bâti au fil des années. Voilà l’importance capitale de la sécurité des données.
Stratégies de Sécurité de l’Information
Tout comme les marketeurs ont créé des cadres stratégiques – les 4P, 7P, 4C, etc. –, le domaine de la sécurité de l’information a élaboré des modèles tels que le triangle CIA et l’Hexade de Parker. CIA signifie Confidentialité, Intégrité et Disponibilité. Donn Parker, un consultant en sécurité, a élargi ce cadre avec trois éléments supplémentaires : Utilité, Authenticité et Possession.
Description de l’Hexade de Parker
- Disponibilité : La capacité de l’organisation à accéder aux données. Par exemple, une panne de courant empêchant les marketeurs d’accéder aux données clients représente un problème de disponibilité.
- Utilité : La perte de l’utilité des données. Si un gestionnaire de campagne perd la clé de chiffrement des données, celles-ci deviennent inutiles et donc inutilisables, bien qu’encore accessibles.
- Intégrité : La prévention des modifications non autorisées des données. Par exemple, si un stagiaire supprime accidentellement un champ du jeu de données, cela constitue un incident lié à l’intégrité.
- Authenticité : L’attribution des données ou informations au bon propriétaire. Imaginez qu’une agence publicitaire reçoive un faux email qui lui enjoint de supprimer toutes vos données clients, pensant qu’il provient de votre entreprise. C’est un problème d’authenticité.
- Confidentialité : Lorsqu’une personne non autorisée accède à un fichier analytique marketing, la confidentialité est mise en cause.
- Possession : La possession concerne le vol de données ou d’informations. Par exemple, un employé malveillant télécharge toutes les informations de contact de vente sur un appareil mobile et les supprime ensuite du réseau.
Gestion des Risques
Comprendre les problèmes auxquels vous êtes confrontés est une chose, mais connaître les risques potentiels pour l’entreprise en est une autre. Voici une approche utile en cinq étapes pour la gestion des risques :
Identification des Actifs
Avant de pouvoir gérer les risques de votre service marketing, vous devez cartographier tous les actifs de données qui lui appartiennent. Une fois cet exercice terminé, vous pourrez déterminer quels fichiers de données sont les plus critiques.
Identification des Menaces
Pour chaque fichier et processus de données identifié, les menaces potentielles doivent être déterminées. Cela peut nécessiter une session de brainstorming avec les marketeurs et les départements de sécurité et de protection des données.
Évaluation des Vulnérabilités
Dans cette étape, les menaces et vulnérabilités pour chaque donnée et processus sont comparées et des niveaux de risque leur sont attribués. Les vulnérabilités sans menaces correspondantes ou les menaces sans vulnérabilités associées ne seront pas considérées comme présentant un risque.
Atténuation des Risques
Pour les risques identifiés, des mesures pour les prévenir seront déterminées. Il existe trois types de contrôles : logiques (ex. protection par mot de passe, pare-feu), administratifs (ex. politique de sécurité de l’entreprise) et physiques (ex. caméras de vidéosurveillance, portes à carte d’accès).
Au fil du temps, les risques peuvent changer. Par exemple, un déménagement de votre service marketing ou la migration vers un service d’hébergement cloud peuvent nécessiter une nouvelle évaluation des risques. Il est conseillé de revoir régulièrement le processus de gestion des risques pour rester au sommet de tous les risques liés à votre département marketing et au-delà.
Approche en Trois Lignes de Défense
Le modèle des Trois Lignes de Défense de l’Institut des Auditeurs Internes (IIA) demande trois rôles internes pour une protection robuste :
- Première Ligne de Défense : Gérer les risques des activités opérationnelles quotidiennes. La direction générale veille à ce que le département marketing soit conscient des risques de protection des données et suive les politiques pertinentes.
- Deuxième Ligne de Défense : Identifier les risques dans les opérations quotidiennes. Les équipes de sécurité, de protection des données et de gestion des risques surveillent les activités. Une bonne coopération entre ces équipes et le service marketing est cruciale.
- Troisième Ligne de Défense : Fournir une assurance indépendante sur la gestion des risques en évaluant les deux premières lignes de défense. Les équipes d’audit interne assurent ce rôle, et le service marketing devra collaborer lors des audits.