Limiter les risques du tout-numérique

Les documents électroniques peuvent présenter un niveau de sécurité supérieur à celui de leurs homologues sur papier. A condition de mettre en place des règles strictes, sans lesquelles les technologies les plus sophistiquées sont inutiles.

Les documents de l'entreprise sont de plus en plus électroniques et le phénomène de dématérialisation est inéluctable. Un fichier informatique s'affranchit des distances, du temps d'acheminement, évite les ressaisies et se retrouve plus facilement une fois archivé. Des avantages certains dont le corollaire est l'obligation d'un système totalement sûr, alors que l'environnement informatique recèle de nombreux dangers. Un exemple ? Mi-juillet, un blogueur français a réussi à accéder à des documents confidentiels du site Twitter où était décrit entre autres l'ensemble de sa stratégie. Ces « secrets » étaient hébergés par Google dans le cadre de son offre de « cloud computing ».

« Le maillon faible, c'est l'homme », rappelle Jean-Marc Rietsch, le président de la Fedisa, la Fédération de l'ILM (Information Lifecycle Management), du stockage et de l'archivage. Car les technologies, elles, sont au point. Encore faut-il les utiliser à bon escient. En particulier lors de la mise en place d'une solution de dématérialisation de factures, de contrats, de fiches de paie... Autant de documents qui doivent être infalsifiables, avec des expéditeurs et des destinataires connus, et qui seront ensuite conservés de longues années.

Le « contrat de confiance » repose sur une politique de sécurité stricte dans les étapes de la vie d'un document électronique : sa création, sa transmission, sa réception, sa consultation et son stockage. Il faut être certain qu'aucune usurpation d'identité ni intrusion ne soient possibles. Et que les documents soient consultables à tout moment en toute confidentialité.

Les outils mis en place ne seront que la concrétisation d'un ensemble de choix. « Une mesure technique seule ne sert à rien. Dans la plupart des cas, elle ne sera pas utilisée », rappelle Emmanuel Gazay, le responsable de l'offre sécurité chez Accenture France. La réussite passe par la mise en place de règles à respecter, d'un plan de formation, le tout initié par une réflexion autour d'une question centrale : quel niveau de criticité pour quelles données ?

La question n'est pas aussi simple qu'il n'y paraît. « Le choix des solutions à mettre en place reposent trop souvent sur une approche émotionnelle, liée à sa propre expérience », analyse Etienne Combet, le cofondateur de la société de conseil Sealweb. « En matière de sécurité, on met plus d'exigence dans la dématérialisation que dans les documents papier, renchérit Jean-Marc Rietsch. Quitte à placer la barre le plus haut possible, au même niveau pour tous les documents. Alors que dans le même temps, beaucoup ont un comportement suicidaire avec la messagerie électronique, envoyant des documents confidentiels en pièces jointes. »

Une fois établi le niveau de confidentialité des différents documents, on pourra y affecter les mesures adéquates. C'est que la sécurité a un coût qu'il convient de mettre en regard de celui engendré par une perte ou un vol. « Beaucoup de données ne sont pas aussi sensibles qu'on veut bien le dire, affirme Etienne Combet, chez Sealweb. Par exemple, la perte d'une facture n'est, sauf exception, pas très grave. » Il faudra, en revanche, pouvoir prouver l'intégrité du document en cas de contrôle. En clair, qu'il n'a pas été modifié après sa création. Pour cela, il existe le système dit « Hash », qui le prouve avec certitude et rapidement.

Vient ensuite l'archivage, assuré par l'entreprise elle-même ou par un tiers. Les règles sont connues : il faut dupliquer les données dans deux, voire trois centres différents et suffisamment éloignés l'un de l'autre pour échapper à une catastrophe naturelle. « On peut citer le cas d'une très grande entreprise française de renom qui a choisi d'installer ses deux sites à 300 mètres de distance parce que cela lui coûtait deux fois moins cher, raconte Pascal Lointier, le président du Clusif, le Club de la sécurité de l'information français. Pourtant, l'emplacement cumule les inconvénients : présence d'une pinède, risque d'inondation, danger sismique, le tout sous un couloir aérien. »

Les spécialistes de l'archivage externalisé proposent, eux, un service complet.« L'archiveur doit, en plus d'assurer la conservation des données, apporter la preuve de leur intégrité », rappelle Charles du Boullay, le directeur général de CDC Arkhinéo, filiale de la Caisse des dépôts. Et assurer la possibilité d'ouvrir le document dans plusieurs années. A quoi bon avoir mis en place tous les systèmes de sécurité possibles, si plus aucun logiciel n'est capable d'ouvrir le fichier ? « Trop souvent, les entreprises ont conservé les procédures établies avant l'arrivée de l'électronique. Certaines tâches deviennent inutiles, il faut en créer de nouvelles», conclut Etienne Combet.