Entretien avec Xavier Domecq, fondateur d’ID-Logism et auditeur INHESJ
En quoi la demande de vos clients a-t-elle évolué depuis la création d’ID-Logism en 2006? Pourriez-vous nous décrire le contexte dans lequel s’inscrit aujourd’hui votre entreprise ?
ID-Logism a été créée pour accompagner ses clients sur l’ensemble des sujets liés à la gestion d’identités (IAM) en dressant un inventaire des personnes qui se connectent au système d’information (collaborateurs ou partenaires) dans l’objectif de maîtriser l’ensemble de ces acteurs.
Petit à petit, la demande a évolué vers des questionnements davantage spécialisés sur les droits et les privilèges des personnes accédant au système d’information. Ces dernières sont en effet multiples et varient en fonction du type de clients. Depuis ces quatre dernières années, ces différentes thématiques nous ont conduit à la problématique du patrimoine informationnel : « Qui accède à ce patrimoine ? Dans quel contexte ? Comment prévenir les risques de pertes ou de fuites ? » Derrière ces questions se cachent des données plus ou moins sensibles à interpréter selon plusieurs points de vue.
Aujourd’hui, on nous demande de réfléchir aux enjeux associés au big data, « nouvelle mine d’or » des entreprises. Nous proposons ainsi désormais une approche plus fonctionnelle et organisationnelle de la sécurité. Notre activité a donc connu depuis dix ans une croissance régulière corrélée à notre capacité grandissante à accompagner nos clients dans la protection de leurs actifs les plus sensibles.
Comment êtes-vous organisés face à un nombre de données qui ne cesse de s’accroître ?
Notre cœur de métier consiste à aider nos clients à identifier ce qu’est une donnée sensible et à apprendre à différencier une information critique d’une autre. Une information sensible se détermine par une approche par les risques : un risque de réputation, un risque concurrentiel, un risque réglementaire ou financier. Notre activité nous fait côtoyer régulièrement les différents métiers d’une entreprise. Nous sommes ainsi conscients de leurs spécificités ce qui nous permet d’apporter des réponses « sur-mesure » à leurs problématiques. Si une information fuit ou échappe à la maîtrise de l’entreprise, cela peut lui porter préjudice. Les données personnelles en sont un bon exemple. Ne pas maîtriser celles de vos clients ou de vos collaborateurs en interne, peut renvoyer une image peu favorable de l’entreprise et vous exposera prochainement à d’autres risques. En effet, une réglementation européenne RGPD (Règlement Général de la Protection des Données) entrera en vigueur en 2018 et imposera de lourdes sanctions aux entreprises « fautives » pouvant atteindre jusqu’à 4% du chiffre d’affaires réalisé.
« Une réglementation européenne RGPD (Règlement Général de la Protection des Données) entrera en vigueur en 2018 et imposera de lourdes sanctions aux entreprises « fautives » pouvant atteindre jusqu’à 4% du chiffre d’affaires réalisé. »
Il existe donc un double risque à la fois de mauvaise réputation mais aussi financier. Une donnée concurrentielle, un brevet, un savoir-faire, des taux commerciaux pratiqués etc. sont également des données qu’il convient de protéger. Typiquement les bonus entre traders sont des informations sensibles en interne d’une banque tout comme peuvent l’être les caractéristiques d’une pièce entrant dans la constitution d’un matériel militaire. Dans ce cas, nous ciblons l’information à protéger et établissons ensuite un niveau de protection.
Comment se protéger ?
La protection peut être de différente nature. Il existe d’abord le processus de manipulation de l’information appelé protection de la donnée en mouvement (qui peut y accéder ? dans quel cadre ? et l’utilité de cette donnée). Ensuite, on détermine sa zone de stockage (dans une application, un fichier informatique, un répertoire etc.) pour ensuite appliquer une politique de sécurité propre. Puis, des éléments de surveillance sont mis en place afin de vérifier que la donnée ne sorte pas par mail et ne transite pas d’un espace à l’autre etc. Tout un arsenal fonctionnel et organisationnel est donc engagé en plus d’un outillage informatique capable de contrôler le bon fonctionnement du processus.
Source : Interview extraite du N°184, Janvier-février 2017, de la Revue Défense Nationale