TOPIC informatique ou même de consultant qui les assiste. Elles doivent d’abord s’informer pour cerner l’ampleur du problème, ce qui devrait les décider à agir, mais aussi pour constater que l’on n’est pas nu contre cela. Le site safeonweb1 que nous avons créé remplit cette tâche : c’est une source précieuse d’informations et de conseils proposée par la coalition belge de la cyber-sécurité en collaboration avec le bureau du premier ministre, la FEB et quelques grandes entreprises. Il faut bien entendu adopter les précautions de base applicables à tout usage de l’informatique : protéger ses données globalement par un anti-virus performant, activer un bon firewall et recourir à des back-ups. Il faut ensuite veiller à structurer son approche pour pouvoir agir efficacement et ne pas gaspiller ses ressources et son temps. Je préconise d’articuler cette structuration en divers axes qui permettent de clarifier les besoins et les approches. Au préalable, il faut faire la part des informations que l’on détient et, parmi celles-ci, distinguer celles qui sont essentielles et critiques, c’est à dire celles que je ne peux perdre en aucun cas. Faute de cela, on ne sait ce qu’il faut protéger ni de quelle façon et on risque de bouleverser inutilement son organisation ou de protéger inadéquatement ses données. Le premier axe que je propose est celui de la confidentialité : il faut sélectionner, parmi mes informations critiques, celles qui ne peuvent être divulguées. Des contrats, des recettes de fabrication, des accords divers… De telles informations devront idéalement être cryptées (à condition de ne pas oublier la clef de cryptage !). Le deuxième est celui de la continuité : je possède des données que je dois pouvoir consulter, qui doivent être disponibles dans le temps et être toujours sous la main. Dans ce cas, le cryptage n’est d’aucune utilité. Au contraire, il augmente les risques de non-continuité. Je dois m’assurer que l’information dont j’ai et aurai besoin est toujours là, bien que j’aie changé dix fois d’ordinateur entretemps. Le troisième axe est celui de l’intégrité des données : des informations importantes comme des calculs essentiels, des carnets d’adresses, des relevés de paiement, etc. Dans ce cas, un fichier corrompu peu être une catastrophe. Comment aborder le GDPR en termes de sécurité, car il fait peser une lourde responsabilité sur les entreprises ? G.A. : Dans le cas du GDPR, il faut en quelque sorte protéger les autres et leurs données contre nous. Il y a un ensemble de principes, comme minimiser la sauvegarde des données, mais c’est assez complexe et parfois vague. Par exemple, si je suis une société de parking et que je garde les numéros de plaque de mes clients, il faut que je puisse prouver l’utilité que j’ai de les garder ; de plus, il faut selon le GDPR que ces données soient mises à jour : tel client change de plaque, je dois ou devrais le savoir ! Il y a donc une responsabilité double dans ce cas de figure : il faut donc bien s’interroger sur la pertinence de conserver de telles données. À la clef d’infractions, des audits, la justice, des amendes : prudence donc. Beci organise des formations à ce sujet, que je ne puis que conseiller de suivre. 1 https://www.safeonweb.be BECI - Bruxelles métropole - décembre 2018 29 Conseilleriez-vous aux PME de s’attacher les services d’un consultant agréé ? G.A. : Certainement aux entreprises qui n’ont pas de responsable informatique ou ont recours à un conseiller externe, une dizaine de jours par an. S’il n’y a pas de responsable, cela va de soi ; mais un consultant va également Georges Ataya Un responsable de PME ne peut plus considérer qu’il ne peut pas investir et s’investir dans son informatique ; il doit avoir une stratégie digitale minimum. C’est une question de survie, tout simplement. prémunir des abus possibles d’un conseiller externe, qui peut avoir intérêt à vendre (trop) de services inutiles ou qui ne me permet pas d’évoluer correctement dans ma gestion du risque. Il n’y a pas d’agrégation dans ce domaine mais il y a des standards de gestion de l’informatique utilisés dans le monde entier à partir desquels un standard PME peut être créé. C’est la méthode que je suis. Il y a 37 métiers de l’informatique : la gestion de projet, l’acquisition de système, l’analyse, le développement… C’est donc très vaste : la question préliminaire est de pouvoir déterminer de quel(s) métier(s) a besoin telle entreprise lambda, question à laquelle seul un consultant indépendant pourra répondre impartialement. Il va évaluer le nombre de processus que doit rencontrer cette entreprise et le nombre de jours qu’il faudra y dédier. Ainsi, tout est stratégiquement planifié et budgété, avec un coût nettement moindre que ce celui d’un responsable dédié. La sécurité devrait se voir comme un investissement, en tant que partie du déploiement informatique d’une entreprise ; or elle est vue comme un coût. G.A. : En effet. Depuis presque 30 ans, la manne informatique a bénéficié aux entreprises, permettant une augmentation de productivité sans précédent. Mais un jour il faut bien payer la note du contrôle, de la gouvernance et de la gestion optimisés que permet une informatique sécurisée. Il n’y a pas une instance transcendante qui fera cela pour nous. Un responsable de PME ne peut plus considérer qu’il ne peut pas investir et s’investir dans son informatique ; il doit avoir une stratégie digitale minimum. C’est une question de survie, tout simplement. ● D.R.
32 Online Touch Home