Avec la généralisation des services en ligne (Dropbox, Google Agenda,…) et des solutions métier en mode SaaS (« Software as a Service »), il est désormais possible d’accéder à ses données quand on veut, d’où ou veut. C’est fort pratique, surtout dans le monde du spectacle vivant où les déplacements sont très fréquents. Pour autant, vos données constituent un actif extrêmement précieux : il est primordial de les sécuriser. Et pour cela, il faut être vigilant sur un certain nombre de points, avant de confier vos données à une solution hébergée dans le “cloud”.
Cet article fait le point sur les bonnes pratiques à adopter et les points à surveiller.
Gardez vos mots de passe pour vous
Le service en ligne est le coffre-fort dans lequel vous allez stocker vos données. Et votre mot de passe est la clé qui permet de l’ouvrir… Donc, ne laissez pas traîner la clé ! En effet, une étude récente indique que 84% des incidents de sécurité informatique sont liés à un facteur humain.
Voici quelques bonnes pratiques à adopter :
- Ne choisissez pas un mot de passe trop simple ;
- Évitez de choisir le même mot de passe pour tous vos services en ligne ;
- Changez votre mot de passe régulièrement ;
- Ne communiquez jamais votre mot de passe à un tiers ;
- Évitez de mémoriser votre mot de passe dans votre navigateur.
Méfiez-vous des services en ligne qui vous envoient votre mot de passe en clair par e-mail ! Renseignez-vous sur la manière dont sont stockés les mots de passe sur le service en ligne que vous projetez d’utiliser : pour répondre aux normes de sécurité, ils doivent être cryptés suivant un standard de cryptographie à clé publique utilisant une fonction de hachage (type SHA256).
Astuce : pour éviter d’avoir à retenir plusieurs mots de passe compliqués et différents, vous pouvez utiliser un gestionnaire de mot de passe comme Dashlane.
Assurez-vous que le site est sécurisé
Dans les films d’espionnage, l’agent secret évite de transmettre des informations sensibles sur une ligne « non sécurisée ». Sur internet, c’est pareil : si vous saisissez votre mot de passe ou vos données sensibles sur un site « non sécurisé », ils pourront potentiellement être interceptés par un pirate.
Un site est « sécurisé » lorsqu’il utilise le protocole SSL (Secure Socket Layer) qui assure que l’identité du site n’est pas usurpée et crypte les communications entre le navigateur et le serveur. Pour simplifier, si vous voyez un cadenas vert, c’est que les échanges sont sécurisés.
Soyez intransigeant lorsque vous envisagez de confier vos données à un service en ligne : assurez-vous qu’une barre verte et un cadenas apparaissent dans la barre d’adresse du navigateur.
Renseignez-vous sur le lieu de stockage de vos données
Vous avez choisi un mot de passe complexe, vous avez vérifié que le service que vous utilisez est doté d’un certificat SSL… Mais, concrètement, où vont être stockées les données que vous aurez confiées ?
Car, bien qu’on parle de « cloud », ces données seront au final stockées sur un disque dur, au sein d’une baie de stockage, dans un centre de données.
Demandez la localisation géographique du (ou des) centre(s) de données qui vont héberger vos informations. Si les données sont hébergées aux Etats-Unis (ou si vos données sont hébergées en Europe par une société de droit américain), le Patriot Act autorise les services secrets américains à accéder à vos données privées.
Renseignez-vous également sur les sécurités physiques mises en œuvre pour protéger le centre de données. Qui a accès aux salles de serveur ? Comment y accède-t-on (lecteurs biométriques, cartes d’accès) ? Quels systèmes d’alarme sont en place ? Du personnel de sécurité qualifié et formé est-il présent sur site 24h/24 ?
Contrôlez que vos données sont bien sauvegardées
L’aspect « cybersécurité » est crucial, mais il n’est pas suffisant. En effet, même si vos données sont stockées dans un centre d’hébergement digne de Fort Knox, elles pourront être perdues si le lieu en question n’est pas protégé contre les incendies, les inondations, etc.
Renseignez-vous sur le système de sécurité incendie (technologie de détection d’incendie, type de système d’extinction) ou inondation (fosses et systèmes de pompes, bâtiment en zone non-inondable…).
Privilégiez les services qui réalisent des sauvegardes sur des sites distants, voire vous proposent de recevoir à fréquence régulière (tous les jours, toutes les semaines, tous les mois) une copie de sauvegarde de vos données.
Sachez à qui vous confiez vos données
Vos données sont ce que vous avez de plus cher. Ne les confiez pas à n’importe qui. Vérifiez les mentions légales du site institutionnel de la société qui héberge le service en ligne que vous projetez d’utiliser : elles doivent obligatoirement mentionner raison sociale, forme juridique, adresse du siège social, montant du capital social, adresse du courrier électronique et numéro de téléphone.
A noter néanmoins : si la société a obtenu un certificat SSL, c’est déjà qu’un certain nombre de vérifications d’identité ont été effectuées par une autorité de certification. Vérifiez également que la société a un contrat de responsabilité civile professionnelle, et qu’elle s’est elle-même assurée que ses fournisseurs ont, eux aussi, une couverture en matière d’assurance.
Vérifiez que vous restez propriétaire de vos données
Pour finir, vérifiez que le prestataire envisagé communique clairement sur les conditions générales d’utilisation de son service.
Ces conditions doivent notamment stipuler clairement que vous restez propriétaire de vos données et que le service s’interdit d’utiliser, reproduire, adapter, modifier, publier ou distribuer vos données.
En pratique, vérifiez que vous pouvez à tout moment exporter l’intégralité de vos données (via l’interface de gestion du service).
Vous voici un peu mieux armé pour profiter en toute sécurité des formidables possibilités des services en ligne, tout en restant maître de la situation.