C’est une donnée dont il faut prendre soin et qui, si elle tombe dans de mauvaises mains ou est perdue, peut vous coûter du temps, de l’argent et nuire à votre réputation.
Une donnée sensible peut être une information (NAS, adresse personnelle, numéro de cellulaire, phrases de passe), un document (contrats avec des employé.e.s ou des fournisseur.euse.s), des messages ou communications sur vos réseaux sociaux et comptes Google, ou encore des fichiers médias (films, vidéos, images, sons, archives…).
Évaluer le degré de sensibilité de vos données
La sensibilité d’une donnée varie en fonction du contexte : elle est spécifique à chaque organisme et à chaque personne.
On identifie trois niveaux de sensibilité des données :
- Les données publiques sont des informations rendues délibérément accessibles à tou.te.s. Par exemple : une œuvre d’art en accès libre (film, musique…), ou un rapport publié à des fins de transparence.
- Les données confidentielles sont des documents et informations dont l’accès doit être restreint à une audience spécifique : courriels, informations de contact, travaux en cours, film en montage, versions de travail…
- Les données secrètes sont des données dont l’accès est exclusif à certains individus seulement. Votre numéro d’assurance sociale est une information secrète.
Tout accès menant à vos données confidentielles ou secrètes doit être protégé.
Vous savez mieux que nous ce qui est sensible dans votre organisme. Pour vous assurer d’identifier et d’analyser adéquatement les données qui sont sous votre responsabilité, imaginez que vous perdiez cette donnée, ou que vous renversiez un café sur votre ordinateur – car oui, « j’ai échappé mon café sur mon Mac » est un grand classique des recherches Google.
Quelle serait la portée matérielle et morale associée à cet incident? Y aurait-il du travail à refaire, des documents confidentiels exposés ou perdus, ce dommage pourrait-il avoir un impact sur la confiance de vos partenaires?
Bref, il importe de se demander quels seraient les coûts engendrés – en termes de temps, d’argent et de réputation – pour que votre organisme se remette de cette perte.
Comment déterminer le niveau de risque?
En cybersécurité, on évalue le niveau de risque à l’aide d’une matrice : on multiplie l’impact d’un incident de sécurité par sa probabilité. Plus un facteur est élevé, plus le risque est sérieux et demande une attention immédiate. L’évaluation – et la valeur qu’on attribue à chacun des facteurs – est évidemment subjective et peut changer en fonction des contextes.
Reprenons le scénario (assez courant, disons-le) de l’accident caféiné. Imaginons que vous avez l’habitude de prendre plusieurs cafés quotidiennement en vous rendant à votre poste de travail. Le premier facteur à prendre en compte est donc celui de la probabilité. La probabilité qu’un matin vous laissiez tomber le contenu de votre tasse sur votre ordinateur portable est relativement élevée. Évaluons-la à 3 (sur une échelle de 5). Si, depuis quelques semaines, vous travaillez de la maison et que vous venez d’adopter un chat cajoleur (changement de contexte), il pourrait être judicieux d’élever cette probabilité à 4. Ensuite, vous devez évaluer l’impact de l’incident. Si vous stockez l’ensemble de vos documents en travail sur cet ordinateur (sans copie de sauvegarde), l’impact de cet accident peut être désastreux (disons qu’il aurait un impact de 5). Par contre, si vous disposez de copies de sauvegarde à plusieurs endroits ainsi que sur un service d’infonuagique, l’impact se résume à la perte de matériel (impact financier) et de temps (une journée de travail à aller chercher un autre ordinateur et à le reconfigurer adéquatement). Il serait donc correct d’évaluer cet impact à 3.
Vous pouvez consulter cette matrice dans le Protocole de sécurité.
En résumé, voici un peu plus de questions qui vous aideront à évaluer l’impact des données en fonction de l’impact occasionné par leur altération, leur perte ou leur vol :
- Est-ce qu’un.e membre du personnel doit passer du temps à fouiller dans les copies de sauvegardes en espérant miraculeusement retrouver les données perdues?
- Avez-vous la responsabilité d’informer vos partenaires et client.e.s de ce dommage? (Voir aussi vos responsabilités légales)
- Est-ce que vous devez payer un.e expert.e pour réparer une brèche de sécurité? Cette personne est-elle disponible rapidement?
- La perte, l’altération ou le vol de ces données risquent-il d’avoir des impacts (réputationnels, productifs, financiers ou autres) sur votre organisme?
Ces questions vous sont présentées à titre d’exemple. Le protocole de sécurité vous accompagne exhaustivement dans l’évaluation des différentes données. Avec cela, vous pourrez créer un plan pour identifier vos priorités, et protéger au mieux vos précieux atouts.
Comment établir ses priorités?
À ce point, vous pensez sûrement qu’il sera difficile de complètement sécuriser toutes vos données sensibles. Vous avez raison : c’est littéralement impossible! Même pour les entreprises qui disposent de ressources humaines ou monétaires quasi illimitées, il est irréaliste de réduire le risque à zéro.
Un bon plan en cybersécurité, c’est une réponse appropriée à un risque crédible.
Par exemple, il est logique qu’un.e étudiant.e verrouille la porte de son appartement avant de partir à ses cours, pour protéger ses avoirs. Inversement, dans la même situation, il serait absurde que cette même personne s’endette en utilisant un système d’identification biométrique et emploie deux gardiens armés à temps plein pour sécuriser l’accès à sa porte.
Si votre plan est bien orchestré, vous vous éviterez certainement des pertes financières, mais aussi le stress et l’anxiété de la gestion de crise qui accompagne les incidents.
C’est pourquoi votre démarche en cybersécurité vise à agir prioritairement sur les points faibles de votre organisme. Dit autrement, l’objectif est de déterminer le niveau de risque – et donc, les priorités – en évaluant l’impact qu’aurait une compromission des données et la probabilité qu’elles soient compromises.
Pour faire cela, il y a une solution miracle : il faut faire un inventaire! (« Youpi!!! J’adore faire les inventaires! » – Personne). Nous vous parlons plus précisément de cette étape enthousiasmante dans le protocole de sécurité. Patience. On sait que vous avez hâte.
Récapitulatif
- Comprendre ce qu’est une donnée sensible en fonction de votre contexte;
- Identifier les données confidentielles et secrètes au sein de votre organisme;
- Faire un inventaire qui évalue le risque associé à chaque donnée sensible (voir le protocole de sécurité et la matrice de risques);
- Établir un plan de match pour mieux protéger la confidentialité et la disponibilité des données sensibles.