De nos jours, toutes les entreprises sont amenées à gérer un volume conséquent de données informatiques pour pouvoir se développer et faire face à la concurrence. Si chaque donnée informatique a son importance, certaines peuvent être plus sensibles que d’autres. Mais quelles sont donc ces données sensibles en question ? Découvrez des éléments de réponse dans cet article.
Qu’est-ce qu’une donnée informatique sensible ?
Selon la Commission Nationale Informatique et Liberté (CNIL) et le Règlement Général de Protection des Données (RGPD), une donnée informatique est dite sensible lorsqu’elle peut apporter des informations sur la race ou l’ethnie, l’opinion ou la tendance politique, la religion ou la philosophie, l’appartenance à un syndicat d’une personne. Il peut également s’agir de données génétiques et biométriques permettant d’identifier une personne de manière physique. Les données qui peuvent révéler l’état de santé ou l’orientation sexuelle d’une personne sont également considérées comme sensibles.
Il faut faire attention à ne pas confondre une donnée informatique sensible et une donnée informatique à caractère personnel. Cette dernière désigne toute information permettant d’identifier – directement ou indirectement – une personne physique grâce à un ou plusieurs éléments qui lui sont propres. Il peut s’agir d’un nom et/ou d’un prénom, d’un numéro de téléphone, d’un numéro d’immatriculation, d’un numéro de sécurité sociale, d’une adresse IP…
Qu’est-ce qu’une donnée informatique sensible pour une entreprise ?
Pour une entreprise, une donnée informatique est qualifiée de sensible lorsqu’elle peut apporter un avantage quelconque – économique et/ou stratégique – et dont la divulgation, l’altération, la destruction ou l’utilisation frauduleuse peut lui porter préjudice. De manière générale, on distingue 5 grandes catégories de données informatiques sensibles en entreprise :
- Les données qui concernent les personnes : les clients et les prospects, les collaborateurs et les partenaires extérieurs, les fournisseurs…
- Les données qui concernent les métiers de l’entreprise : le savoir-faire, les secrets de fabrication, les méthodes de conception, les documents de propriété intellectuelle, les plans de production, les prototypes…
- Les données stratégiques et organisationnelles : les décisions stratégiques, les orientations, les documents issus des instances de gouvernance, les projets de recrutement…
- Les données économiques et financières : la trésorerie, les montages financiers, la politique tarifaire, la grille de rémunération, les budgets prévisionnels, les conditions d’achat auprès des fournisseurs…
- Les données légales c’est-à-dire toutes les informations liées aux contraintes légales, notamment les contraintes de conformité au RGPD et autres réglementations en vigueur.
Quelles sont les obligations des entreprises sur les données informatiques sensibles ?
Conformément au RGPD qui est en vigueur en France et sur tout le territoire européen, la collecte et l’utilisation des données informatiques sensibles sont formellement interdites sauf si :
- La personne concernée donne expressément et explicitement son consentement ;
- La personne concernée rend publiques de manière manifeste les informations ;
- Les données sont nécessaires à la sauvegarde de la vie humaine ;
- L’utilisation des données est autorisée par la CNIL et est justifiée par l’intérêt public ;
- Les données concernent les adhérents ou les membres d’une association ou d’une organisation religieuse, politique, philosophique ou syndicale.
Le RGPD soumet également les entreprises à l’obligation de protéger les données informatiques qu’elles collectent et exploitent, et ce, afin d’éviter qu’elles ne soient altérées, détournées, modifiées ou utilisées par des personnes malintentionnées. Dans cette optique, chaque entreprise doit prendre les mesures de sécurité adéquate.
Toutefois, il faut savoir que cette obligation ne concerne que les données informatiques sensibles des personnes physiques. Mais face à la recrudescence des cyber-attaques qui peuvent coûter cher aux entreprises, il est également indispensable de sécuriser de manière optimale les autres catégories de données sensibles de l’entreprise.
Pourquoi protéger les données informatiques sensibles de l’entreprise ?
Les données informatiques sensibles de l’entreprise attisent souvent la convoitise de personnes malintentionnées, à savoir notamment les hackers – les pirates informatiques – et les espions industriels. Le but étant dans la plupart des cas soit de récupérer une somme d’argent de manière frauduleuse, soit de mettre à mal l’organisation de l’entreprise à des fins concurrentielles ou non.
Selon les études menées récemment, les entreprises qui ne protègent pas ou protègent mal leurs données informatiques sensibles s’exposent à 5 risques majeurs : la fraude aux faux-fournisseurs, l’usurpation classique d’identité, la fraude au président, les intrusions dans les systèmes d’information et la fraude aux faux-clients.
Aujourd’hui, les cyber-attaques n’épargnent aucune entreprise, quelles que soient sa taille et son activité. Selon les statistiques, près des trois quarts des entreprises ont été victime d’une tentative de fraude en 2018 et un quart d’entre elles l’ont été plus de dix fois. Dans un contexte actuel où le télétravail prend de l’ampleur, les entreprises ont tout intérêt à redoubler de vigilance, car les conditions sont plus que jamais favorables aux cyber-attaques.
Comment protéger les données informatiques sensibles de l’entreprise ?
Il existe aujourd’hui diverses solutions pour la protection des données informatiques sensibles de l’entreprise. NetExplorer vous propose entre autres le chiffrement pour rendre toutes vos informations critiques illisibles sauf aux personnes qui disposent des autorisations nécessaires.
Cependant, pour que la protection de vos données informatiques sensibles soit vraiment efficace, il convient de les hiérarchiser et de les classifier en fonction de leur degré de criticité. Il n’existe pas de règle établie pour la classification des données informatiques sensibles au sein d’une entreprise, mais le plus simple consiste à les classifier en 3 niveaux :
- Les données publiques dont la divulgation au grand public ne porte aucunement préjudice à l’entreprise. C’est le cas par exemple des contacts (numéros de téléphone et adresse mail) du service client ou de l’adresse du siège de l’entreprise.
- Les données internes qui n’exigent pas de grandes mesures de sécurité ,mais qui ne sont toutefois pas destinées à être divulguées au grand public. L’organigramme de l’entreprise peut par exemple être classé dans cette catégorie.
- Les données restreintes, c’est-à-dire les données internes très sensibles dont la divulgation peut nuire à l’intégrité financière et/ou juridique de l’entreprise. Il s’agit dans ce cas des informations personnelles des clients, des salariés, des fournisseurs et autres partenaires, des données d’authentification (identifiants, mots de passe)…
Libre à vous ensuite de rajouter d’autres niveaux en fonction des besoins de votre entreprise.