François Thill (Cases) (Photo: Etienne Delorme/archives)

François Thill (Cases) (Photo: Etienne Delorme/archives)

Avec le développement de l’informatique, les entreprises dépendent de plus en plus des informations stockées sur des serveurs connectés vers le «monde extérieur»… Ces données vitales ne sont pas pour autant correctement protégées…

L’économie devient numérique. Les jeunes pousses du web ne sont plus les seules à se reposer sur l’informatique et les réseaux. Plus aucune PME aujourd’hui ne réussit à fonctionner sans un élément informatique, quel que soit sa taille ou son secteur. Pour autant, toutes n’ont pas conscience des risques qu’elles prennent et négligent de mettre en place les protections adéquates.

Régulièrement, de grandes sociétés font ainsi la une des magazines d’information, suite à un piratage ou une perte de données. Dernière en date: Sony, la société nipponne ayant ainsi été victime d’un piratage de masse concernant presque 100 millions de fichiers clients et plusieurs dizaines de milliers de données bancaires qui se sont retrouvées dans la nature…

Face à de telles annonces, la plupart des PME se sentent peu concernées: pas la même taille, pas le même enjeu… De l’inconscience? Pour François Thill, responsable de l’initiative Cases au ministère de l’Economie et du Commerce extérieur, «toutes les entreprises devraient au moins protéger correctement ce qui relève de leur cœur d’activité, leurs processus primaires.» Il ne s’agit pas seulement d’être en accord avec la loi, mais également de réussir à survivre en cas d’attaque informatique. Que devient-on sans données clients? Que devient-on sans données comptables et financières?

François Thill reconnaissait il y a déjà plusieurs mois que «suivre les bonnes pratiques et les différents standards dans le domaine de la sécurité informatique n’est pas chose simple. Les normes sont très compliquées…». Depuis 2005, Cases s’attache à vulgariser et expliquer ces standards dans le domaine de la sécurité informatique. Le but est d’isoler les éléments cruciaux et d’adapter des modèles pensés pour de grandes structures à la réalité économique du marché grand-ducal… où fatalement les tailles des structures, et donc les compétences disponibles, sont plus réduites. Témoin de cette ambition: la collaboration avec le CRP Henri Tudor pour décliner ISO 27001, le plus pointu des standards, dans un langage accessible à tous, y compris aux PME.

Les entreprises semblent comprendre de plus en plus l’importance de l’enjeu, d’autant plus que la loi impose un minimum d’actions dans ce domaine, au risque de se voir doublement punies: en plus de la perte en elle-même, elles peuvent être poursuivies s’il s’avère qu’elles ne sont pas protégées contre «l’altération ou la diffusion non autorisées des données ou leur accès non autorisé».

La Commission Nationale pour la Protection des Données est d’ailleurs explicite sur un autre point particulièrement important: la sécurité est un processus qui n’est jamais terminé… Elle doit accompagner l’évolution des technologies: «La sécurité est un processus qui n’est pas ‘terminé’ par la seule mise en place des mesures de sécurité. (…) L’évolution constante du cadre technologique, commercial et juridique ainsi que les modifications dans l’organisation et les objectifs de l’entreprise nécessitent l’évolution constante du dispositif en vigueur. (...) L’usager tient toujours une certaine part en la réussite d’un dispositif de sécurité et doit faire preuve d’une vigilance constante.» Dont acte. La balle se trouve bel et bien dans le camp des entreprises.