Ce travail de fond doit être minutieusement préparé au niveau du Top Management de l'entreprise et prendre en compte un ensemble de données complémentaires. Il est utile de prendre de la hauteur et de raisonner de manière intégrée pour que la démarche soit réellement couronnée de succès. Cela passe nécessairement par la mise en place de démarche de formation et de sensibilisation multi-facette . Concrètement, il est utile de s'appuyer sur une méthodologie reposant sur un triptyque : gouvernance, architecture technique, ressources humaines. Cette démarche est une nécessité et doit permettre d'aborder tous les points stratégiques à couvrir. N'oublions pas non plus que ces projets doivent être partagés et compris par tous les collaborateurs de l'entreprise.
Au niveau du séquencement, il est donc important de s'appuyer sur trois grandes étapes :
Audit
Il est tout d'abord utile de bien connaître le processus organisationnel de l'entreprise, son mode de fonctionnement, la nature de ses activités et donc l'approche critique des informations dont elle dispose. Cet audit permet de comprendre les rôles de chacun et de qualifier le type d'information dont dispose la société, de connaître son mode de circulation, les modalités pratiques pour y accéder… Tous ces éléments ont pour objectifs de cartographier au plus précis les modalités organisationnelles liées à la gestion et à la diffusion de l'information.
Préconisation
A la suite de l'audit, un travail de synthèse est réalisé, mettant en avant les éléments recueillis. Ce travail doit être factuel et présenter clairement la problématique. Il doit aussi permettre à l'entreprise de mettre en place un plan d'action et de formation qui mettra en avant tout le processus nécessaire pour se prémunir de la fuite d'informations sensibles. Cette recommandation constituera le chemin de fer à suivre et donnera des lignes directrices sur les plans techniques, organisationnels et humains.
Mise en œuvre
Ce dernier point concerne le déploiement et l'implémentation des mesures présentées dans la préconisation.
Enfin, le volet Ressources Humaines est également à prendre en compte. Il faut évaluer le niveau de la « culture sécurité » de l'entreprise et sensibiliser les collaborateurs sur les sujets de protection de l'information et aussi sur la nécessité de détecter les comportements déviants de leurs collègues quand ça arrive . La préservation de l'information est donc un facteur à surveiller. Cela ne s'improvise pas et combine de nombreuses données complémentaires. Les entreprises doivent prendre en compte ces dernières et positionner la sécurité au centre de leur modèle organisationnel.
Auteur : Mikael MASSON, Directeur Risk Management et Cybercrime de SDN International.
