La fuite d’information : Questions utiles

Écrit par HASSID Olivier

15 avril 2013

CDSE : Considérez-vous qu’en France les entreprises sont bien protégées contre la fuite d’informations ?

White Canyon : Etonnamment en France à ce jour, l’accent est porté exclusivement sur la protection des données en exploitation dans l’entreprise. Chaque RSSI porte une grande attention à tout risque de fuite de données et leur utilisation par un tiers non autorisé en adoptant toutes ou partie des solutions actuelles de protection. Mais quand les outils arrivent en fin de cycle et quittent l’entreprise, toutes ces informations sur les quelles la plus grande attention a été portée, repartent sur les disques des machines mal ou non effacées. Vous seriez surpris du volume d’informations confidentielles trouvé par les recycleurs sur ces PC et portables.

CDSE : Pourquoi les sociétés n’effacent elles pas les données des postes de l’entreprise ?

White Canyon : Supprimer toute trace d’information sur de grandes quantités de matériel est souvent lourd dans sa mise en place, c’est la raison pour laquelle les recycleurs dans certains cas sont en charge de cette démarche. Les unités contenant toutes ces données sont alors transférées a l’autre bout de l’hexagone ou souvent en Europe de l’est avec un risque évident de vol, et bien souvent dans la plus part des cas sans production d’un certificat d’effacement.

CDSE : Quelles sont à ce titre les obligations légales pour les sociétés, et quels sont les risques encourus par les Directions informatiques ?

White Canyon : D’une part, l’article 226-17 du Code Pénal Français responsabilise lourdement les dirigeants d’entreprises sur leur devoir de protection des données.
De plus, de nouvelles normes françaises et européennes sont en cours d’élaboration en la matière, et la loi Sarbanes Oxley (SOX) impose à toutes les sociétés Européennes ayant des filiales ou relations commerciales avec les Etats-Unis des règles strictes de gestion de la vulnérabilité des données.

Quand aux risques encourus par les DSI, ils relèvent de la faute professionnelle comme en 2012 chez Volkswagen, Klaus Hardy Mühleck le DSI le plus influant d’Allemagne a dû donner sa démission suite à des manquements graves de sécurité informatique dans la gestion des données sur les postes en fin de vie du Groupe VAG. http://www.computerwoche.de/management/it-macher/2496171/

CDSE : Mais alors pourquoi l’effacement des postes critiques sur le site de l’entreprise n’est il pas systématisé, et que propose White Canyon ?

White Canyon : Comme me le disait récemment le RSSI d’un important groupe industriel; il n’est parfois pas utile d’utiliser un marteau pour écraser une fourmi, tous les postes ne nécessitent pas forcément ce traitement sécuritaire. C’est pour cette raison que nous proposons un mode d’effacement en SaaS avec http://www.wipe-remove.com/, Les données sont supprimées sur site très simplement, et notre outil d’administration permet à nos clients de gérer leurs certificats d’effacement des postes critiques de la société sur site. Une offre de back up du poste au préalable verra le jour courant du 1er trimestre 2013

CDSE : Quels sont les types de postes ciblés et quelles garanties d’effacement sont offertes à vos utilisateurs ?

White Canyon : Tous les portables et PC des départements de recherches, services commerciaux, ressources humaines, marketing, direction financière et générale sont autant de facteurs de risques de fuites de données non maitrisées. WipeDrive Mobile propose une solution identique pour SmartPhones et tablettes. Avec près de 15 ans d’existence White Canyon annonce en Europe son produit WipeDrive , le seul logiciel certifié EAL4+ aux Common Criteria, l’organisme international regroupant 27 pays membres dont la France avec l’ANSSI. http://www.niap-ccevs.org/st/st_vid10395-vr.pdf

Annexes :
Site White Canyon EMEA http://www.whitecanyon.eu/fr/
Site SaaS Wipe Remove http://www.wipe-remove.com/
Contact White Canyon: edi@whitecanyon.eu
La responsabilité Pénale
(Article 226-17 du Code Pénal )
« Le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d’emprisonnement et de 300.000 € d’amende. »
La responsabilité Civile
La responsabilité civile du dirigeant* est engagée si par une faute caractérisée de sa part – telle l’absence de sauvegarde – l’entreprise subit une perte de données qui lui soit très dommageable. La responsabilité civile est également engagée face à une absence avérée de mesure d’organisation ou de protection du système d’information de l’entreprise.

(*) : ou du délégué ayant reçu pouvoir officiel du dirigeant (ex : responsable informatique)

Ces articles pourraient vous intéresser

Les rançongiciels sont une catégorie particulière de logiciels malveillants qui bloquent l’ordinateur des...

L’Economist Intelligence Unit (EIU) est une entreprise indépendante appartenant au groupe The Economist....

Le haut fonctionnaire de défense et de sécurité (HFDS) des ministères économique et...

Commissions et groupes de travail

Les commissions et groupes de travail du CDSE, ouverts à tous les membres, sont le cœur de la réflexion du Club sur l’ensemble des problématiques qui impactent la sécurité-sûreté des entreprises.

Le réseau CDSE

Le CDSE a étendu son réseau auprès d’acteurs privés, publics et académiques qui participent à ses travaux. Il représente en outre les « donneurs d’ordre » et les « utilisateurs » au sein de différentes instances.

Les statuts

Le CDSE est une association loi 1901 à but non lucratif créée en 1995. Retrouvez la dernière version des statuts du CDSE adoptée par l’Assemblée générale extraordinaire du 15 septembre 2020.

Le règlement intérieur

Le CDSE s’est doté d’un règlement intérieur adopté par l’Assemblée générale extraordinaire du 20 septembre 2017 régissant différents points notamment en matière d’éthique et de déontologie.