Boîte à outils Tester son niveau de cybersécurité
3/4 VOS PLUS GRANDS SECRETS Qui y a accès? Eric Sinot
Toute PME travaille avec ses secrets, plus ou moins «grands», plus ou moins bien protégés. Ces secrets, informations ou données confidentielles peuvent concerner ses clients, ses contacts, ses prix, ses fournisseurs, des expertises ou connaissances, ses collaborateurs… Ils sont une partie essentielle de l’entreprise.
Un ami entrepreneur m’a récemment fait part de sa surprise: «Parti en vacances, j’avais oublié de remplacer, à distance, ma collaboratrice responsable des salaires, en vacances elle aussi.
Et pourtant les salaires ont bien été traités; sinon, j’en aurais entendu parler.» Je lui ai conseillé de poursuivre sa réflexion et son analyse: il n’y a pas de magie informatique, juste des actions et résultats informatiques qui divergent de nos attentes, sans forcément que cela saute aux yeux tout de suite.
Le secret de ces salaires se trouvait-il uniquement entre de bonnes mains, au bon endroit? Et d’ailleurs, quelles sont les bonnes mains?
En tant que responsable de votre PME, vous connaissez probablement la réponse, pour les informations salariales et tous les autres secrets.
Qui bénéficie des droits d’accès maximum dans vos systèmes d’information? Si la réponse vous échappe, il est possible de demander aux informaticiens qui administrent ces systèmes.
Prenez bien en compte les différents systèmes: les e-mails, transferts, les autres messageries, les fichiers partagés, une application propre à votre métier ou ERP, les différents sites ou portails web, internes et externes, les
accès aux systèmes des clients ou fournisseurs, etc. Et, nec plus ultra, les combinaisons entre eux.
Plus fréquemment qu’il n’y paraît, la réponse pour votre entreprise pourrait consister en une personne qui est passée par de multiples rôles différents dans votre organisation, comme: une apprentie, un stagiaire maintenant engagé, la réceptionniste, un agent de maintenance promu dans un rôle business…
Mais pourquoi? J’ai l’expérience d’avoir souvent reçu des demandes de personnes, plus ou moins bien justifiées, d’accéder à des systèmes supplémentaires, ou des informations supplémentaires gérées dans ces systèmes.
Je n’ai par contre jamais reçu de demande d’une personne visant à restreindre ses propres droits d’accès.
Seuls les responsables hiérarchiques le demandent, au moment où la personne quitte l’entreprise. Souvent d’ailleurs trop tard pour prendre garde aux informations déjà sorties des systèmes.
Dans un autre contexte, avec amusement et crainte tout de même, j’ai eu la chance d’observer un éminent politicien romand donner la même réponse pour l’administration qu’il dirige: si vous cherchez la personne qui possède dans une administration publique l’accès le plus large aux informations, pensez aux mêmes profils de personnes aux rôles «nomades».
Concernant votre entreprise, qui possède au final le plus large accès aux informations des clients? Des prix ou des marges? Des coûts ou des salaires? Avez-vous vérifié?