A l’heure du Web 2.0, l’entreprise « ne peut pas ne pas communiquer ». Pour être compétitive, elle doit avoir des relations avec ses clients, ses fournisseurs, ses partenaires, et plus généralement avec l’ensemble des parties prenantes. Cela signifie qu’un filet de protection sur la communication externe des informations ne saurait avoir pour conséquence de transformer littéralement l’entreprise en « cage de Faraday ». La démarche méthodique de protection des informations reposera avant tout sur une posture intermédiaire, mesurée et équilibrée, c’est-à-dire « sans fausse naïveté, ni paranoïa ». Elle consistera notamment à inventorier le patrimoine immatériel de l’organisation pour pointer les informations les plus importantes. Elle permettra de déterminer la valeur propre de chaque information pour fixer des priorités de protection sur certaines d’entre elles. La protection ne peut être « chirurgicale ».
Une fois réalisée cette phase de marquage des informations à valeur ajoutée (on parle de classification), l’entreprise devra adopter une organisation et des procédures internes permettant de détecter d’éventuelles attaques extérieures ou des compromissions des informations sensibles (mise en place de veille, réalisation des tests d’intrusion…). Cette démarche de management de l’information stratégique consiste donc à inclure la sécurité de l’information dans le processus décisionnel. Elle revient à résoudre une équation simple : « Comment ne pas tout dire, à tout le monde, tout le temps ».
Article paru dans la rubrique Les Clés de l’IE, APS, 10/09/2010
