Sans données, rien ne fonctionne dans une PME. Les commandes, les livraisons, les e-mails, les factures et autres constituent la base du quotidien professionnel d’une entreprise. Et cela rend la protection et la sécurité des données d’autant plus importantes. Mais quelle est la différence entre les deux et quelles sont les mesures qui doivent être prises pour les mettre en œuvre?
Mardi soir – Madame Perroud vient de commander une nouvelle tondeuse à gazon auprès de son revendeur spécialisé favori. Son ancien modèle ne pouvait plus rien faire face à la pousse rapide de l’herbe dans son jardin en ce printemps humide. Une fois revenue à la maison, elle trouve déjà la confirmation de commande dans sa boîte de réception. Pendant ce temps, la commande ainsi que l’adresse de Madame Perroud sont enregistrées dans le système ERP du revendeur spécialisé. Dès le lendemain matin, un collaborateur s’en occupera. Le revendeur spécialisé attache une grande importance à la qualité de son service clientèle.
Les données professionnelles méritent elles aussi qu’on leur accorde une attention particulière, car elles constituent la base même de l’activité commerciale. Aucune PME ne pourrait faire quoi que ce soit sans rendez-vous, e-mails, informations sur la clientèle, commandes, factures, etc. Il est donc important de traiter ces informations avec précaution. Et avec la nouvelle loi sur la protection des données (LPD) à venir, les données et surtout leur protection bénéficieront d’une attention accrue. LPD, protection des données, sécurité des données: quel est le lien?
Qu’est-ce que la protection des données?
La protection des données est un ensemble de directives relatives au traitement des données personnelles. Ces directives définissent la manière dont les PME peuvent traiter et sauvegarder les données. L’objectif des dispositions de la nouvelle LPD est de protéger les informations personnelles. Il ne s’agit ici que de ce type de données. En effet, le traitement des données de l’entreprise n’est pas soumis à la protection des données. Dans l’exemple mentionné ci-dessus, l’adresse postale et l’adresse e-mail de Madame Perroud seraient donc considérées comme des données à caractère personnel. Les dossiers personnels des collaborateur(trice)s ou les données à caractère personnel des fournisseurs en font également partie.
La LPD est le fondement principal de la protection des données. Les entreprises peuvent toutefois établir leurs propres règles supplémentaires pour le traitement des données, par exemple l’interdiction de transférer les données du client via une clé USB. De telles directives propres à l’entreprise constituent, en plus des dispositions légales, la conformité d’une entreprise. Ils définissent donc le comportement à adopter selon les règles en vigueur.
La responsabilité du respect de la protection des données incombe dans tous les cas à la direction de la PME. Cette responsabilité ne peut pas non plus être déléguée à une société de services informatiques.
Qu’est-ce que la sécurité des données?
La sécurité des données regroupe les mesures permettant un traitement et une sauvegarde des données en toute sécurité. Il s’agit ici de mesures techniques et organisationnelles pour toutes les données d’une entreprise, et pas uniquement pour les seules données personnelles. Cela signifie que la sécurité des données concerne également des données telles que les commandes, les factures, les procès-verbaux de réunion, la comptabilité, les rendez-vous, les correspondances, etc. Aux mesures techniques telles que les sauvegardes de données, la protection contre les virus et pertes de données, et l’accès protégé par mot de passe s’ajoutent des mesures organisationnelles telles que la formation des collaborateur(trice)s ou la réglementation des droits d’accès aux informations de l’entreprise.
Le revendeur spécialisé dans l’exemple ci-dessus a pris différentes mesures de sécurité des données. Il sauvegarde régulièrement l’adresse et les commandes de Madame Perroud, ainsi que du reste de sa clientèle, au moyen d’un backup. L’ERP fonctionne dans le cloud et est donc mieux protégé contre les défaillances que si la PME utilisait sa propre infrastructure locale. Les logiciels antivirus et les firewalls offrent une certaine protection contre les malwares. Et pour que les collaborateur(trice)s ne soient pas facilement piégé/-es par des e-mails d’hameçonnage, la direction organise régulièrement, en collaboration avec son fournisseur de services informatiques, des formations sur la gestion des e-mails de phishing et des données professionnelles en général.
Grâce à ces mesures techniques et organisationnelles, la PME garantit une sécurité des données nécessaire. Celle-ci constitue la base de la protection des données, en minimisant par exemple les risques de perte de données ou d’accès par des tiers non autorisés.
Madame Perroud a entre-temps reçu la tondeuse qu’elle avait commandée. Elle profitera de sa prochaine journée de congé – par temps sec – pour tondre la pelouse et préparer le jardin en vue d’inviter des proches à un barbecue. Le service rapide de son revendeur spécialisé la conforte dans sa décision de continuer à commander chez lui. Les mesures de sécurité que la PME a prises, et qu’elle contrôle régulièrement, garantissent en arrière-plan que cette confiance soit maintenue.
Protection et sécurité des données: champs d’action pour les PME
Ces articles complémentaires traitent des mesures fondamentales que les PME peuvent prendre pour garantir la sécurité des données. En fonction des ressources et connaissances spécialisées dont l’entreprise dispose, ces mesures peuvent être planifiées au besoin, mises en œuvre et contrôlées par un partenaire informatique.
Les trois piliers de la sécurité des données
Représentée schématiquement, la sécurité des données repose sur trois piliers. Ceux-ci aident à planifier de nouvelles mesures de sécurité et à identifier les failles de sécurité actuelles d’une infrastructure informatique:
- Confidentialité: mesures qui garantissent que les données ne tombent pas entre de mauvaises mains. Cela inclut par exemple les droits d’accès et la protection par mot de passe, mais aussi la protection contre les cyberattaques (les ransomwares par exemple) et la formation des collaborateur(trice)s. Une formation de sensibilisation des collaborateur(trice)s peut également contribuer à protéger la confidentialité.
- Intégrité: mécanismes de protection qui empêchent la manipulation d’informations. Il s’agit par exemple de la signature électronique de documents ou de mesures qui empêchent que des assaillants manipulent des contenus d’un site web.
- Disponibilité: mesures qui réduisent les défaillances. Il s’agit par exemple d’environnements cloud offrant une disponibilité appropriée, de blocs d’alimentation redondants dans les systèmes locaux ou de la mise en miroir des données sur un NAS, mais aussi de la protection contre les attaques DDoS (celles-ci consistent par exemple à saturer une boutique en ligne via un grand nombre d’accès et à la rendre ainsi indisponible).
Testez votre sécurité informatique
Environ 36 % des PME suisses ont déjà été victimes d’une cyberattaque. Avez-vous une bonne protection? Grâce à notre test de sécurité IT, vous pouvez examiner le niveau de sécurité de votre entreprise et découvrir les mesures que vous pourriez prendre.