Il n’est pas possible de protéger et sécuriser toutes les données et tous les systèmes d’une organisation. Cela couterait beaucoup trop cher, prendrait trop de temps et surtout réduirait votre performance. Vous devez équilibrer les mesures de sécurité et leur impact sur vos opérations. Déterminez la valeur ajoutée, identifiez les flux associés à la création de valeur puis le niveau de protection requis pour ces systèmes et données.
Pour illustrer la méthode d’identification des opérations et données critiques, je vous donne l’exemple de 123Maison. C’est une entreprise qui fournit des services d’entretien (réparation, ménage et jardinage) pour ses clients, des hôtels et des spécialistes en gestion immobilière. Ils prennent rendez-vous en ligne ou par téléphone. L’entreprise mandate une personne à l’adresse pour effectuer le travail, puis envoie la facture en fin de mois.
Étape 1 : déterminer la valeur ajoutée
Je ne le répèterai jamais assez. La première étape est toujours de comprendre la valeur ajoutée apportée aux clients. Quelles que soient les améliorations que vous voulez apporter, vous devez penser client et valeur. C’est à partir de cette valeur ajoutée que vous déciderez quoi faire. Car elle va vous aider à protéger le juste nécessaire.
Je pars du principe que vous connaissez votre clientèle et ce qu’elle recherche. Vous avez identifié ce qui vous distingue de vos concurrents et votre avantage compétitif.
Pour 123Maison, la valeur ajoutée s’appuie sur le système de prise de rendez-vous en ligne, qui facilite la vie de ses clients. Ils savent que les clients apprécient la gestion de la facturation, qui compile toutes les activités dans une seule facture, mais avec le détail nécessaire à la comptabilité de chaque client. Enfin, ce sont les délais offerts et respectés qui distinguent 123Maison de la compétition.
Étape 2 : identifier vos flux de travail
La deuxième étape consiste à descendre d’un niveau depuis la chaine de valeur pour identifier les opérations et données critiques.
L’analyse de toute la chaine de valeur peut prendre du temps, Alors, je vous propose de vous concentrer sur les éléments clés, et la valeur ajoutée par rapport à la compétition. Au-delà de ce qui est essentiel à vos opérations, vous devez surtout protéger ce qui vous distingue.
Comment réalisez-vous ces activités en particulier ? Quel(s) systèmes utilisez-vous ? Quelle(s) données manipulez-vous ? Si vous n’avez pas d’idée précise, c’est le temps d’aller sur le Gemba pour observer ces opérations. Demandez à vos équipes de vous décrire le processus, pas à pas. Dans un premier temps, concentrez-vous sur le fonctionnement standard, vous verrez les exceptions plus tard.
Alina, la responsable opérationnelle d’123Maison, a fait développer un module sur le site web pour gérer les rendez-vous. Mais Alina ne connait pas son fonctionnement, ni même où les données sont stockées. Le prestataire a créé un formulaire et les demandes arrivent dans un SharePoint. La facturation détaillée est effectuée par Miguel, un commis. Il reçoit l’information sous forme papier des équipes opérationnelles. Il recopie dans Excel, la compile puis produit un sommaire avec toutes les données utiles aux clients.
Enfin, les délais sont le fruit de l’expérience d’Alina, c’est elle qui détermine le temps requis pour chaque intervention et organise l’agenda des équipes. Elle s’appuie sur un système de gestion d’affectation des tâches. Les équipes reçoivent leur mission sur leur téléphone, ce qui leur fait gagner du temps : pas besoin de repasser au bureau pour savoir quoi faire. Elles remplissent les formulaires papier et les ramènent au bureau quand elles y passent, une fois par semaine. Encore une fois, c’est le commis, Miguel, qui s’assure que le système fonctionne. Il partage avec Alina l’information pour qu’elle mette à jour les délais disponibles sur le site web en fonction de la charge actuelle.
Étape 3 : Déterminez le niveau de protection pour ces systèmes et données
Les opérations et données critiques que vous avez identifiées doivent être regroupées par type de données ou par système. Pour chaque système ou ensemble de données, vous allez compléter une grille avec trois propriétés de l’information. Ici, j’utilise le classique CIA : Confidentialité, Intégrité et Disponibilité.
Selon vos préférences, vous pouvez utiliser une échelle de trois à cinq niveaux. Voici un exemple de grille à trois niveaux.
| Niveau | Élevé | Moyen | Faible |
|---|---|---|---|
| Confidentialité | Données confidentielles — Renseignements personnels des employés, plan stratégique, fichiers clients. | Données privées — Documentation interne, organigramme de l’entreprise, coordonnées professionnelles des employés | Données publiques — Catalogue, fiche produit, communiqués de presse |
| Intégrité | États financiers, coordonnées du site Web, inventaires logistiques, données de qualité et traçabilité | Fiches produits, données de production | Pages du site Web publiques ou informationnelles |
| Disponibilité | Moins de 24 heures | Quelques jours à une semaine | Plus d’une semaine |
Les systèmes critiques sont ceux qui stockent ou traitent des données avec des scores élevés de confidentialité, intégrité et/ou disponibilité.
Avez-vous des données non critiques, mais confidentielles ?
Je distingue deux types de données à protéger : les données sensibles et les données critiques.
Données critiques : nécessaires à la production dans la chaine de valeur. Elles ne sont pas forcément confidentielles, mais requièrent un haut niveau de disponibilité. Il s’agit par exemple des ordres de fabrication, du stock et de l’inventaire, des paramètres de machines, des plans de montage, de votre code ou vos algorithmes).
Données sensibles : confidentielles, mais pas indispensable à la production. Elles doivent être protégées contre l’accès ou la divulgation non autorisés. Dans chaque pays, des lois expliquent ce qu’elles considèrent comme des données personnelles et comment les protéger. Il s’agit par exemple des données des Ressources humaines ou financières.
Dans les deux cas, vous souhaitez protéger les données, mais pas forcément de la même manière, ni avec les mêmes impacts. Si les paramètres de votre machine sont volés, il faudra beaucoup d’investissement pour répliquer votre produit. Par contre, le vol d’un algorithme peut rapidement mettre à mal votre avantage compétitif. De la même façon, les amendes pour vol de données sensibles sont très variables.
Enfin, vous pouvez avoir des données sensibles et critiques pour vos opérations, par exemple, les transactions financières de vos clients, ou les données médicales nécessaires à l’opération chirurgicale.
A l’inverse, si vous avez beaucoup de données sensibles mais non critiques, c’est aussi le temps de vous questionner sur la valeur de ces données. Avez-vous besoin de les garder aussi longtemps ? Est-ce qu’il vaut mieux investir pour les protéger ou les détruire ? Réduire sa portée est un excellent moyen de réduire son attractivité. Et si vous avez des données un peu partout, un 5S virtuel est le bon outil pour faire le tri de vos documents.
Exemple d’analyse pour déterminer le niveau de protection requis
Le système de prise de rendez-vous ne peut pas être interrompu plus de deux jours. Votre clientèle n’a pas d’urgence, vous faites de l’entretien général de bâtiments, vous avez donc un peu de marge de manœuvre, et ce système peut rester en panne un jour ou deux. Vous pouvez toujours prendre rendez-vous par téléphone au besoin, mais cela va empêcher Alina de travailler sur ce qui apporte plus de valeur.
Par contre, ce système contient les informations personnelles (nom, prénom, adresse, téléphone, courriel) de vos clients, ainsi qu’un descriptif détaillé du travail à effectuer chez eux. Ce sont des données moyennement sensibles. Enfin, les données ne doivent pas être modifiées, sans quoi vous irez chez le mauvais client ou n’honorerez pas vos engagements.
Et après que faire avec les opérations et données critiques?
Nous avons commencé avec votre chaine de valeur, nous avons identifié les opérations et données critiques. À partir de là, nous avons determiné le besoin de protection pour chaque système utilisé.
Vous pouvez maintenant décider quelles sont les solutions qui vont vous donner les niveaux de protection appropriés. Vous connaissez vos contraintes opérationnelles, il ne reste qu’à obtenir des devis pour protéger adéquatement ces systèmes et données critiques.
Par exemple, pour le système de gestion de rendez-vous, Alina va contacter le fournisseur et vérifier où et comment les données sont stockées. Elle doit savoir si la situation actuelle correspond aux besoins. Elle verra ensuite comment améliorer et quelles options ce prestataire offre.
Comme Miguel stocke les données dans le cloud de stockage, il faut simplement vérifier que la sauvegarde fonctionne, en tentant, un matin, de récupérer le fichier de la veille. Ensuite, il faudra documenter la façon dont il procède, car au final, c’est lui qui est le plus critique dans le processus. S’il venait à quitter l’entreprise, personne ne saurait comment faire.