Publié le 12/01/2015 Fuites d’informations : un guide AFNOR pour les prévenir et s’en protéger
Ordinateur volé, document confidentiel oublié dans une salle d’attente, mot de passe piraté… pour aider les entreprises à prévenir et gérer une fuite d’informations, les professionnels de la sécurité informatique ont élaboré, avec AFNOR, un guide de bonnes pratiques d’application volontaire.
Un smartphone ou un écran d’ordinateur visible par tous, un mot de passe trop simple, une clé usb perdue, une discussion à caractère confidentielle tenue dans un lieu public, un salarié mal intentionné… autant d’exemples d’erreurs ou d’actes de malveillance conduisant à des fuites d’informations.
La prévention de la fuite d’informations est donc devenue une préoccupation majeure en matière de sécurité informatique. Avec un environnement informatique plus ouvert et en évolution permanente, les organisations doivent redoubler de vigilance pour protéger leurs données.
Comment s’organiser pour prévenir ces risques ? Quelles actions mettre en place ? Comment construire une politique de prévention des fuites d’informations – Data Leak Prevention (DLP) ?
Elaboré de manière collective au sein d’un groupe de travail* composé de représentants d’organismes institutionnels et juridiques et de sociétés utilisatrices, le guide de bonnes pratiques AFNOR, BP Z90-001, permet d’accompagner les organisations dans leur problématique de sécurité de l’information en leur proposant un ensemble de recommandations et de solutions techniques.
Ce document, fruit d’un consensus, couvre les aspects principaux de la prévention et de la gestion de ce type de crise : le facteur humain, les concepts et grands principes d’une mise en place d’une politique de DLP, les étapes de sa mise en œuvre, la gestion de la fuite…
Ainsi, le guide invite les organisations à miser sur la formation du personnel pour le sensibiliser à la « discrétion professionnelle », à l’intérieur et à l’extérieur des locaux, quant aux informations données à des tiers non identifiés et habilités.
Il est également essentiel qu’elles identifient certains points cruciaux avant la mise en œuvre d’une politique DLP (Data Leak Prevention) : quels sont les types de fuites possibles ? Les vecteurs de fuite potentiels (personnel, réseaux et médias, smartphone, clé usb…) ? Les moyens et outils pouvant être utilisés (e-reputation, solution logicielle, cryptage…) ?
Le guide précise l’ensemble des étapes à suivre pour la mise en œuvre d’une politique DLP efficace (identification des données à risque, d’une équipe de projet dédiée, actions et procédures à déclencher, déploiement…) avant de détailler les axes d’une bonne gestion de la fuite d’informations.
Avec ce guide, les organisations de toutes tailles disposent d’un outil pratique, d’application volontaire, pour la mise en place d’actions efficaces que ce soit avant, pendant ou après une fuite d’informations.
* Les organisations impliquées dans l’élaboration du guide AFNOR BP Z90-001 : 3M, Agence Leprivé & Stratég-IE ; BERSAY & Associés ; Daphné Dailloux (juriste) ; DGA Défense ; EISTI (Mastère Intelligence Economique) ; ID-LOGISM ; La Marine Nationale ; MIRCA ; SINDUP ; SNARP France Détective ; SSL EUROPA ; SYMANTEC ; THALES.