Audit de sûreté des infrastructures: l’importance du bon timing

L’espionnage économique sévit avec intensité partout en Europe. Au Luxembourg notamment, les entreprises, suite aux multiples enquêtes ayant touché le milieu de la Finance et dans le contexte particulier du « Luxembourg bashing », ne connaissent que trop bien la valeur et l’attractivité médiatique des informations qu’elles détiennent. Dans ce contexte particulièrement sensible, si la sécurité informatique est devenue un enjeu majeur pour les entreprises luxembourgeoises, son importance ne doit cependant pas nous faire négliger la première barrière de protection des données, virtuelles ou non, d’une organisation : l’infrastructure physique.

Ne pas attendre l’intrusion pour initier la réflexion sur la sûreté des infrastructures

C’est le premier écueil, et le plus fréquent : attendre de constater une infraction pour agir. Lorsqu’elles sont bien réalisées, les intrusions les plus professionnelles resteront pourtant invisibles : pas de vitres cassées, pas d’unité centrale manquante. En passant inaperçu, l’intrus s’offre le bénéfice du temps long pour multiplier les prélèvements, connaître plus intimement les personnes et les lieux, recouper les données, et pénétrer plus profondément les richesses informationnelles de l’organisation. En gardant également à son profit l’effet de surprise, par exemple celle de la révélation de l’information dans les médias ou à la concurrence, il empêche sa cible de prendre des contre-mesures pour en atténuer le préjudice, matériel ou de réputation.

Ne pas attendre « le dossier sensible » pour prendre des mesures de protection

Une autre faiblesse de timing très souvent constatée : des audits de sûreté lancés en catastrophe et sur l’initiative d’un membre du management travaillant dans l’immédiat sur un dossier particulièrement sensible. Un audit permettra certes d’initier des mesures de protection physique (changements de serrures, port de badges…) pouvant être mises en oeuvre dans des délais courts si les budgets le permettent. Le coeur de la sûreté des infrastructures aboutit cependant toujours très rapidement à des questions plus profondes de procédures, de management et de culture d’entreprise qui exigent du temps pour être implémentées ou pour évoluer. Il n’y a pas de risque zéro en sûreté : toute serrure, même la plus sophistiquée, peut être violée, toute alarme peut être désactivée, tout badge peut être frauduleusement dupliqué — et cela bien souvent grâce à la défaillance humaine d’un personnel qui aura divulgué un code ou égaré un sac. C’est le facteur humain qui change la donne, et c’est en responsabilisant chaque acteur par le biais d’une politique managériale solide et par des procédures de sécurité et de résilience cohérentes avec l’organisation, que la sûreté de l’infrastructure devient enfin optimale.

Anticiper les évolutions de l’organisation

Une vision à moyen et long-terme de l’entreprise est également importante, et elle exige un échange de vue permanent entre le management, le directeur de la sûreté, le facility manager et les différents services, afin que les infrastructures soient auditées en réelle cohérence avec l’activité et dans un timing permettant des délais acceptables de mise en place de contre-mesures. Les évolutions prévisibles, qu’elles concernent l’opérationnel (diversification de l’activité par exemple), le structurel (comme la digitalisation des données) ou les ressources humaines (un recrutement intensif de collaborateurs) impactent directement la sécurité des infrastructures, et doivent être anticipées pour optimiser la qualité de l’audit et des changements qu’il initiera en aval.

Rempart International est une société de sûreté basée au Luxembourg et opérant partout dans le monde. La richesse de nos services est le résultat d’une longue expérience internationale acquise au contact de situations sensibles en milieu hostile. Pour en savoir plus: www.rempart-international.com