Sécuriser les systèmes d'information

Perdre ses factures fournisseurs, ses bons de commande... quel dirigeant n'a pas eu cette peur un jour ou l'autre ? Le risque était déjà présent du temps du « tout papier ». Un incendie pouvait faire disparaître une entreprise. À ce jour, l'informatisation n'a pas vraiment diminué ce risque. Elle s'est banalisée dans l'entreprise sans que la sécurité suive. En outre, les pannes de disques durs et autres « bogues » sont beaucoup plus courants que les incendies. Des problèmes plus souvent liés à des maladresses et à des malveillances internes qu'à des réseaux de hackers. Selon un rapport du Clusif, les entreprises interrogées signalent que 37 % des incidents de sécurité informatique concernent un vol ou une perte de matériel, contre 8 % pour les intrusions sur les systèmes d'information. Toutes les organisations, même les plus sensibles, sont concernées.

Le maillon faible, l'humain...
« Lorsqu’il s’agit de la gestion des informations, l’élément humain est le plus souvent le maillon faible de la chaîne », déclare Florian Kastl, directeur International du Département de la Sécurité, de la Sûreté et de la Continuité d’Activité de Iron Mountain. « Les informations sont le cœur de l’entreprise et il est vital que les sociétés mettent en place des contrôles stricts leur permettant de réduire, voire de prévenir, le risque de vols par leurs employés». Le danger interne est d'autant plus difficile à contrôler qu'il n'implique pas forcément la malveillance. Emporter un fichier pour continuer à travailler de chez soi, sur son PC familial non sécurisé, n'est, à priori, pas répréhensible mais peut déboucher sur la perte de données ou leur corruption par un virus. Dans un registre plus malveillant, des salariés peuvent à la veille de leur licenciement accéder au serveur, via un web café, et emporter des données confidentielles.

Externaliser, une alternative crédible
La première réaction, sécuriser son système d'information, est naturelle. Mais, pour être exhaustive, cette démarche se décline sous de multiples formes et devient vite compliquée et onéreuse. Par exemple, la mise en place d'un plan de reprise d'activité informatique implique des investis­sements lourds. Il s'agit, entre autre, de répliquer les informations sur un site distinct du site principal de l'entreprise. Si elle n'évite pas de sécuriser à minima son système d'information, utiliser les services d'une société spécialisée est une alternative. Cette dernière est devenue crédible depuis quelques années avec la banalisation du haut débit et la maturité des technologies de sauvegarde et d'archivage. Quelques banques, BNP Paribas, le Crédit de Bretagne, etc. utilisent déjà ce type de services.

Plusieurs niveaux de services
Le principe de base de ces offres est à peu près toujours le même. Les documents numériques, factures au format pdf ou scannées à partir du papier par exemple, sont envoyés par Internet (email, ftp, service web) au prestataire. Ce dernier se charge de sécuriser le stockage et de donner un accès en ligne aux documents. Directeur Général de la société Opus Conseil, Jacques Leret distingue «  quatre niveaux de services d'archivage dans une offre telle que Arkansaas ». Le premier niveau correspond à de la sauvegarde. Le second à de l'archivage économique ; il inclut quelques fonctions supplémentaire comme, par exemple, la possibilité de gérer son plan de classement pour retrouver facilement ses documents. Un troisième niveau est souvent baptisé coffre-fort électronique ; outre les possibilités de gestion, il inclut les technologies garantissant la valeur probante des documents comme la signature électronique et l'horodatage, ce qui fait la différence en cas de litige. Le dernier cas de figure recouvre un véritable système d'archivage électronique, dans ce dernier cas, « le nombre de documents concernés comme leur importance justifient d'intégrer l'archivage dans l'ensemble du système d'information, en particulier dès la création de documents sensibles ».

Une offre du marché pléthorique
L'offre du marché est surabondante. La sauvegarde est souvent opérée dans des salles blanches, comprenant de nombreux serveurs informatiques et sécurisés. Le prestataire prend souvent en charge le logiciel permettant de verser et d'accéder aux archives. Côté acteurs, on trouve aussi bien des entreprises informatiques qui proposent de la sauvegarde en ligne que des spécialistes de la sécurité informatique. Dans cette jungle, se démarquent les « pure players » qui ne proposent que cette prestation, et les entreprises pratiquant l'archivage papier mais qui ont ajouté le numérique à leur offre. Les tarifs démarrent souvent bas, à partir de quelques dizaines d'euros par mois. La tarification inclut souvent une part forfaitaire et une autre proportionnelle au volume. Les offres du marché s'adressent de la TPE à la grande entreprise. Parmi les premiers, on peut citer Xambox ou encore Arkansaas. Des archiveurs comme Everial ont ajouté l'électronique à leur offre d'archivage papier.

Les points à contrôler
Outre le prix, plusieurs aspects sont à vérifier avant d'externaliser. La labellisation du service d'archivage par des organismes comme la Fédération Nationale des Tiers de Confiance (www.fntc.org) ou l'adhésion du prestataire à la Fedisa garantissent un bon niveau de service. « Il ne faut surtout pas se limiter à considérer la problématique de l’archivage électronique comme une simple dématérialisation des techniques traditionnelles d’archivage. ...Il faut, entre autres, apporter la preuve de leur intégrité tout au long de leur parcours, de la création à l’archivage, la donnée doit être récupérable facilement et efficacement, voire disponible en ligne », souligne Jean-Marc Rietsch, président de la Fedisa. Très concrètement, l'accès en ligne aux documents archivés, le coût de cet accès, les formats de sauvegarde sont à contrôler. Notamment, la procédure de mise à disposition des informations en cas de rupture du contrat. Si tous ces points sont satisfaisants, l'externalisation est un moyen simple et accessible de mettre à l'abri ses documents sensibles.

Par Patrick Brébion