Ce que les services informatiques peuvent apprendre du FBI

Publié par Andy Green

Qu’est-ce que le FBI et votre service informatique ont en commun ? Ils ont tous deux à se soucier du vol de données, plus précisément, du vol de la propriété intellectuelle (PI). Alors que votre organisation s’efforce de tenir la PI hors de la portée de la concurrence, les premiers combattants du crime de la nation veillent à ce que les secrets commerciaux ne soient pas volés par des gouvernements étrangers.

Les services informatiques tout comme le gouvernement partagent des points de vue similaires sur la protection des données confidentielles. Par exemple, les tribunaux étatiques et fédéraux s’attendent à ce que les entreprises prennent des mesures « raisonnables » pour protéger leurs secrets commerciaux, sinon ils vont assumer l’information ne peut être que top secret en premier lieu. Ces mesures incluent apprendre aux employés qu’ils vont manipuler des informations exclusives, marquant explicitement des documents comme confidentiels et s’assurer que l’ensemble des contrôles techniques et physiques est en place. C’est le genre de conseils sur les pratiques exemplaires que vous attendez de la part de votre CIO.

Le FBI a également de bons conseils sur la façon de prévenir le vol de la PI. Voici une liste des caractéristiques courantes qu’ils ont trouvées sur le vol de secret commercial par des initiés:

• L’initié jouit d’un très grand accès
• Les informations exclusives et confidentielles ne sont pas marquées comme tells (et par conséquent ne bénéficient pas de la protection dont elles ont    besoin)
• Il est trop facile de passer la porte (ou le réseau) avec des informations confidentielles
• L’absence de politique définissant où des données exclusives peuvent être stockées (par exemple : sur des appareils personnels)

Les conseils du FBI soulignent effectivement que les bonnes politiques de protection des données sont de bons moyens de dissuasion contre le vol de la PI—sans même mettre dans le facteur d’agents 007 étrangers. Bien sûr, il y a de nombreuses PI d’entreprise qui ne font pas partie des secrets commerciaux, mais qui méritent, toutefois, d’être protégées et que l’on  doit garder confidentielles. Il peut s’agir de listes de clients, d’informations commerciales, des procédures de l’entreprise, et, disons, des feuilles de route établies pour les produits. Cependant, les mêmes règles de protection de secrets, d’informations non-publiques s’appliquent encore, y compris, par exemple, celle limitant l’autorisation selon le principe du besoin de savoir et surveillant l’accès à ce contenu critique.

Si l’accès à des informations confidentielles est trop restrictif, les employés ne pourront pas faire leur travail, certaines personnes auront finalement besoin d’accès. C’est là que l’audit et la surveillance de l’utilisation des données et des accords de confidentialité, que la plupart d’entre nous ont dû signé au fil des années, entrent en jeu. Le jargon juridique dans les accords de confidentialité oblige les employés à ne pas révéler certaines informations qu’ils trouvent—généralement spécifiée dans l’accord—à des tiers.

Personne n’est, bien sûr, assez naïf pour croire que la menace d’une action en justice de la part d’une entreprise de la  NDA empêchera les pirates-espions et agents doubles d’entreprise de voler des secrets. C’est vrai. Toutefois, si vous mettez en œuvre la protection standard des données et les meilleures pratiques en matière de confidentialité, vous contribuerez dans une large mesure à la protection de votre PI contre les voleurs de données nationaux et étrangers.

The post Ce que les services informatiques peuvent apprendre du FBI appeared first on Varonis Français.