L'Afnor publie son guide sur la prévention des fuites de données

Pour soutenir les politiques de sécurité des organisations, l’Afnor promeut son guide « prévention et gestion de la fuite d’informations ». La DGA, Thales, Symantec et d’autres y ont contribué.

Après avoir créé un groupe de travail dédié, l’Association française de normalisation (Afnor) publie enfin son guide « Prévention et gestion de la fuite d’informations – Protection du patrimoine informationnel ». L’objectif affiché : soutenir les politiques de sécurité et de gestion des risques des entreprises en leur proposant des recommandations et solutions techniques.

L’entreprise face aux initiés

« Un smartphone ou un écran d’ordinateur visible par tous, un mot de passe trop simple, une clé usb perdue, une discussion à caractère confidentielle tenue dans un lieu public, un salarié mal intentionné… autant d’exemples d’erreurs ou d’actes de malveillance conduisant à des fuites d’informations. La prévention est donc devenue une préoccupation majeure en matière de sécurité informatique », commente l’Afnor.

Prenant en compte des variables techniques, juridiques et sociales, le guide de bonnes pratiques invite les organisations à miser sur la formation de leur personnel pour alimenter une politique éclairée de prévention des fuites de données – DLP (Data Leak Prevention). Les auteurs jugent également essentiel d’identifier les données à risque, les vecteurs de fuite potentiels (réseaux sociaux, clés USB, etc.) ainsi que les moyens et outils à disposition pour gérer le risque. La mise en place d’une équipe projet dédiée à la problématique est également préconisée.

Une approche pluridisciplinaire

Outre l’Afnor, ont contribué à l’élaboration du guide vendu 92,10 euros hors taxes et publié sous la référence BP Z90-001 : 3M France, Symantec, Thales, la DGA (Défense), la Marine nationale, l’école d’ingénieurs EISTI et le cabinet d’avocats Bersay & Associés. Mais aussi : SSL Europa, actif dans l’authentification et le chiffrement, ID-Logism (SI-Logism) dans la gestion des identités, le cabinet Mirca de management du risque, la plateforme de veille stratégique Sindup. Ou encore Agence Leprivé & Stratég-IE et le Snarp dans le conseil aux entreprises et l’investigation privée.

En France, le coût annuel moyen des cyberattaques aurait atteint 4,8 millions d’euros par entreprise, soit une hausse de 20,5% en 2014, d’après le Ponemon Institute. Les organisations actives dans l’énergie, les services publics, les services financiers et les technologies sont les plus touchées.