Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 15-07

L'honnêteté est la meilleure solution - même en cas de fuite de données !

Est-ce que l'honnêteté dure vraiment longtemps ? Enfant, il était encore facile de répondre à cette question, mais dès l'adolescence, certains ont parfois eu recours au mensonge d'urgence. Dans le monde du travail aussi, la définition du "juste" peut varier : selon une étude, un responsable de la sécurité informatique sur cinq a déjà vécu des situations dans lesquelles les entreprises concernées par des fuites de données ont dissimulé l'incident.
Magazine E-3
22 juillet 2015
Contenu :
2015 xxx
avatar
Ce texte a été automatiquement traduit en français de l'allemand

La fuite des flux de données n'est évidemment pas un problème purement informatique. Mais les DSI, de par leur position dans l'entreprise, ont la possibilité de veiller à ce qu'une gestion honnête soit la seule approche possible.

L'enquête en question a été menée cette année lors de la conférence RSA aux États-Unis. Certaines conclusions sont encore plus surprenantes ; après tout, une grande partie des plus de 1000 personnes interrogées travaille pour des entreprises américaines.

Contrairement à de nombreux pays d'Asie et d'Europe, l'obligation de déclaration est très stricte aux États-Unis. Cela signifie que la dissimulation de fuites de données est tout simplement illégale !

Pourtant, de nombreuses entreprises préfèrent taire une fuite de données : les dommages causés par les pénalités de conformité, les frais de nettoyage ou la presse négative sont énormes ! Les clients ou les investisseurs pourraient également faire faux bond - sans parler du cours des actions.

Des affaires risquées

Si les cybercriminels veulent compromettre votre organisation, vous devez partir du principe qu'ils réussiront ! En tant que DSI ou responsable de la sécurité, vous devriez au moins encourager une culture d'ouverture.

Le signalement d'incidents de sécurité ou de "simples" soupçons devrait être accueilli favorablement et ne pas avoir de connotation négative. Ce n'est qu'à cette condition qu'il y a une chance de détecter à temps d'éventuels incidents.

Pour cela, il faut un certain cadre. La première étape consiste en une analyse complète des risques. Ce n'est qu'ensuite que l'on peut s'asseoir avec la direction.

Il s'agit en premier lieu de décider quel risque elle est prête à assumer. Chaque organisation a ici des idées différentes. Celles qui sont prêtes à assumer un risque plus élevé investiront moins dans la sécurité de l'information que l'inverse.

Une fois cette décision prise, il s'agit d'investir le budget correspondant dans des outils de gestion et de réduction des risques. Le service informatique aura ainsi créé de bonnes conditions pour "assurer ses arrières".

Après tout, il ne devrait plus y avoir de raison de dissimuler des fuites de données. Si cela se produit, c'est souvent en raison d'incertitudes, d'un manque de structures ou de l'absence d'une base de décision basée sur les risques.

Malheureusement, rares sont ceux qui forment explicitement leurs collaborateurs sur le code de conduite souhaité. Dans les grandes organisations, on dit souvent "apprendre par soi-même". Dans les petites et moyennes entreprises, même cela n'est guère le cas. Il en résulte que les incidents "s'enlisent" parfois dans le département informatique.

Le code de conduite, un point aveugle ?

Il est donc d'autant plus important de définir explicitement un code de conduite ("code of conduct"). Celui-ci devrait également contenir des règles très claires sur le signalement d'incidents et de soupçons, mais aussi sur la manière de les traiter.

Bien sûr, cela implique un certain effort. Il est toutefois plus judicieux de faire ces efforts avant. En cas d'urgence, chacun sait alors comment se comporter - et la probabilité que tout se passe bien est nettement plus élevée qu'avec des décisions ad hoc prises en panique dans le feu de l'action.

De même, chaque incident peut être considéré comme une possibilité d'amélioration et non comme un échec. C'est une possibilité d'apprendre et de se réunir à nouveau avec la direction avec les connaissances acquises.

Que ce soit pour aiguiser ou renforcer son propre profil - ou pour discuter (espérons-le) d'une augmentation du budget. Et comme si cela ne suffisait pas, il y a aussi le règlement général sur la protection des données de l'Union européenne. Lorsque celui-ci entrera prochainement en vigueur, nous aurons ici des obligations et des devoirs de déclaration aussi stricts qu'aux États-Unis, y compris des sanctions très sensibles en cas d'infraction.

Cela devrait donc être une autre bonne raison de se préparer et d'introduire une approche basée sur les risques dans l'entreprise. En effet, dans ce contexte légal, l'honnêteté est ce qu'il y a de plus durable - et c'est le meilleur moyen d'améliorer la sécurité.

avatar
Magazine E-3

Information et travail éducatif par et pour la communauté SAP.


Tous les articles de l'auteur

Écrire un commentaire

L'archivage : plus que le classement et l'élimination

Evolution du client avec des charges héritées du passé

L'IA fait partie intégrante de la vie quotidienne

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.