Les organisations – qu’elles soient publiques ou privées – manipulent et partagent au quotidien de plus en plus de données sensibles.
Le cadre réglementaire français contraint les organisations à héberger leurs données les plus critiques chez des opérateurs certifiés, à l’abri des lois extracommunautaires.
C’est là tout l’intérêt de recourir à un cloud de confiance pour héberger ses données sensibles, au-delà de la seule protection contre les risques cyber.
Pour autant, ces exigences de sécurité ne doivent pas entraver la collaboration. Des solutions souveraines permettent aujourd’hui de concilier ces différents enjeux et de collaborer de manière fluide au sein d’une bulle de confiance.
Le webinaire organisé par Oodrive autour de la donnée sensible et du cloud de confiance réunissait deux expertes :
- Joy-Alexandra Denis, RSSI chez Arquus.
- Irène Strajnic, Head of Product chez Oodrive.
Retrouvez ici leurs partages d’expérience autour des enjeux liés aux données sensibles et au cloud de confiance.
Données sensibles : une définition de plus en plus large
La notion de classification des données a considérablement évolué, passant d’une vue très ciblée et militaire à une notion désormais plus large, qui englobe également des enjeux économiques.
Cette évolution a notamment été introduite par la création des notions d’OIV et d’OSE sous le contrôle de l’ANSSI il y a une dizaine d’années.
« Les entreprises et leurs collaborateurs émettent de plus en plus de données sensibles. Il est donc naturel que leur définition évolue afin de faire face aux enjeux actuels », explique Irène Strajnic, VP Product chez Oodrive.
Une donnée sensible se définit désormais de manière large comme un contenu ou un document qui compte pour l’entreprise et qui, s’il était rendu indisponible, endommagé ou dérobé, pourrait nuire à l’activité de l’entreprise, par exemple : des documents sur une fusion-acquisition, des données comptables, des données RH, des brevets, des appels d’offres, etc.
3 bonnes pratiques en matière de gestion des données sensibles
1- S’accorder sur une définition commune des données sensibles
S’accorder en interne sur la classification des données peut représenter un vrai challenge, avec :
- D’une part, la classification au sens de la réglementation (RGPD, par exemple), assez simple,
- Et d’autre part, la classification en interne, qui nécessite de bien s’interroger pour aller chercher l’essence de la donnée sensible et de se mettre d’accord sur les données réellement importantes pour l’entreprise (données publiques, données confidentielles, strictement confidentielles, données dites « diffusion restreinte », données secrètes et très secrètes).
L’entreprise doit donc trouver le bon niveau de maturité pour pouvoir définir la donnée sensible et trouver les bons compromis, puis partager cette définition de manière transparente, tout en veillant à ne pas entraver la collaboration.
2- Être proche des métiers concernés et expliquer les risques
Trouver un compromis entre la qualité de l’expérience utilisateur et la sécurité des données est clé pour garantir que les outils et process utilisés soient bien ceux adaptés aux types de données traitées.
Pour cela, parler aux métiers est indispensable :
- Aller à la rencontre des métiers et leur demander quelle est l’information importante au quotidien pour eux, sans rentrer dans un premier temps dans les questions de classification.
- Trouver des alliés dans l’entreprise, en particulier les personnes qui traitent avec le risque au quotidien (risque juridique, commercial, financier, etc.).
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Si les Comex sont désormais sensibilisés aux risques de pertes financières liées aux cyberattaques, ou de manquement moral dans le cadre de la directive NIS2, ils sont en revanche moins alertés sur les risques d’espionnage, de concurrence, de perte d’appels d’offres, de fraude, etc.
Comment faire résonner la classification des données réalisée en interne auprès des différents métiers ?
Pour Joy-Alexandra Denis, il « faut accompagner, former et sensibiliser les collaborateurs, de manière très concrète et très pratique, c’est-à-dire expliquer le risque en fonction du contexte » (les risques liés à l’utilisation de messageries instantanées « grand public » dans un contexte professionnel, par exemple).
Il est donc nécessaire de continuer à réaliser des analyses de risques fréquentes.
3- Héberger ses données en France sur un cloud souverain
Les différentes solutions SaaS américaines sont soumises aux lois américaines telles que le Cloud Act, le Patriot Act ou encore FISA.
La récente extension de le section 702 du FISA jusqu’en 2026 autorise ainsi les agences américaines de renseignement à collecter sans mandat les communications de ressortissants non-américains en dehors des US, même si elles sont hébergées sur des clouds souverains européens.
Utiliser de telles solutions expose donc les données à des risques d’espionnage, de malveillance, etc. Tout cela renforce la nécessité d’avoir une vision partagée et des outils sécurisés pour faciliter la collaboration interne et externe tout en garantissant l’étanchéité des données hébergées en France.
« On peut faire de la collaboration sécurisée qui plaise aux collaborateurs. Encourageons les solutions de digital workplace plutôt que d’aller chercher des solutions extérieures sur lesquelles nous n’avons pas de contrôle », Irène Strajnic
Comment concilier sécurité des données, productivité et collaboration au quotidien ?
Choisir les bons outils pour assurer la sécurité sans impacter l’expérience
Pour Joy-Alexandra Denis, « choisir un outil très sécurisé mais très pénible à utiliser est voué à l’échec, avec potentiellement le risque de voir se développer du Shadow IT ».
Choisir une technologie appropriée nécessite de se pencher sur la culture d’entreprise. Les questions de souveraineté et d’étanchéité aux lois extraterritoriales ne résonneront pas de la même manière dans une entreprise multinationale que chez un industriel de défense.
D’autre part, les collaborateurs sont de plus en plus à l’aise d’un point de vue technologique et utilisent nombre d’outils pour communiquer au quotidien à titre personnel. Ils s’attendent à retrouver la même fluidité et la même facilité dans l’entreprise.
« Jamais la sécurité ne doit être un frein à la collaboration. Cela nécessite de trouver un compromis pour que l’utilisateur puisse travailler en confiance. La sécurité doit se savoir, mais ne doit pas se voir de manière pesante », Joy-Alexandra Denis
Oodrive, une suite collaborative qualifiée SecNumCloud dédiée aux contenus sensibles
La suite Oodrive garantit la sécurité de la donnée tout au long de son cycle de vie : création, modification, édition collaborative, partages internes et externes, réunions en ligne, e-signature.
Sécuriser l’intégralité de ce cycle évite les brèches et l’exposition des contenus. Les collaborateurs peuvent ainsi collaborer en toute confiance, de manière fluide et sécurisée.
Oodrive est à ce jour la seule suite SaaS qualifiée SecNumCloud par l’ANSSI, ce qui assure une sécurité maximale aux données sensibles.
« Assurer la sécurité des données sans impacter l’expérience est un challenge considérable », Irène Strajnic
Oodrive est interopérable avec plusieurs solutions de collaboration pour offrir aux collaborateurs un environnement complet et proche de leurs habitudes .
Après avoir mené leur travail de classification des données sensibles, les organisations peuvent donc ensuite facilement transférer tous leurs documents sensibles sur Oodrive, pour travailler au sein d’un environnement sécurisé et souverain.
Cloud de confiance et données sensibles : Les bonnes pratiques pour une sécurité renforcée en 2024
Découvrez les meilleures pratiques en matière de données sensibles pour concilier productivité et sécurité
Cloud de confiance et données sensibles : les éléments à retenir
- Définir ce qu’est un contenu sensible.
- Porter une vision, une politique commune au sein de l’entreprise (conduite du changement).
- Se doter d’une suite collaborative de confiance afin de concilier les objectifs de productivité avec les impératifs d’étanchéité des données sensibles.