Pour les entreprises, le facteur humain constitue le maillon faible de la chaîne de cybersécurité. Comment renforcer celui-ci ?

Guillaume Braux : Renforcer ce facteur humain passe avant tout par la responsabilisation des collaborateurs. Comment responsabiliser ceux-ci face aux risques et faire qu’ils soient conscients de la sensibilité des documents qu’ils manipulent ? Dans bien des cas, lorsque l’on ouvre un PDF sur son poste de travail, on ignore s’il est sensible ou confidentiel, puisque l’information qu’il contient n’est pas contextualisée. Le but des solutions Box est donc d’offrir davantage d’information sur chaque document, pour que les collaborateurs identifient aisément son niveau de criticité. 

Exemple concret que je citerais : une entreprise peut être irréprochable en matière de cybersécurité et de propriété intellectuelle. Pourtant, il suffit que ses équipes partagent certains contenus avec, un tiers – par exemple le cabinet d’avocats de l’entreprise – pour qu’une brèche de sécurité soit ouverte. En effet, ledit cabinet d’avocats peut être, lui, victime d’une cyberattaque… Comment, donc, étendre la protection aux tiers pour s’assurer que ceux-ci respectent les mêmes règles et suivent les mêmes pratiques de gouvernance et de sécurité ? Le meilleur moyen de traiter ce problème est donc d’agir à la source, en identifiant d’emblée la sensibilité des documents gérés par l’entreprise. C’est seulement lorsque l’information est classifiée que l’on peut mettre en place des politiques de sécurité et de gouvernance, qui dépasseront les silos de données et les différentes équipes. Pour ce faire, les outils Box sont tout à fait adaptés puisque ceux-ci sont agnostiques, et seront donc capables de traiter tous types de documents pour les classifier. 

L’intelligence artificielle, notamment générative, nous permet même d’aller encore plus loin en la matière, en explicitant de quel document il s’agit et ses caractéristiques : quel client il concerne, sa date d’expiration s’il s’agit d’un contrat… L’idée est d’extraire dudit document les informations-clés pour mettre en place les bonnes mesures de sécurité. L’IA permet ici d’automatiser des processus autrefois manuels et fastidieux.

 

Un autre danger auquel font face les entreprises est la malveillance, non pas externe mais interne.

Guillaume Braux : En effet, la malveillance interne est un danger que les entreprises ne doivent pas sous-estimer. Prenons l’exemple d’un collaborateur qui met la main sur des données documentaires de l’entreprise : sur le papier, il a effectivement toutes les autorisations pour accéder à celles-ci, mais il peut s’agir d’usage illégitime – peut-être parce qu’il prévoit de quitter l’entreprise… Il s’agit là d’un scénario récurrent. Dans ce cas de figure, le collaborateur n’outrepasse pas ce qu’il a le droit de faire, mais a tout de même un comportement incohérent par rapport à ses missions. L’objectif est donc d’identifier les anomalies, tout ce qui sort de la norme. Se posera toutefois la question : où situer la norme ? Celle-ci diffèrera d’une équipe à l’autre, voire d’un collaborateur à l’autre. C’est la raison pour laquelle nous disons que, chez Box, nous effectuons du profilage ; nous tentons de comprendre comment chaque collaborateur – ou chaque tiers – interagit avec l’information et ce qui constituera une anormalité par rapport à sa propre norme. Avoir une solution unique telle que Box permet de coordonner une réponse globale, impossible lorsqu’une entreprise continue à traiter ses données en silos et ne bénéficie pas d’une réelle vue d’ensemble.  

Pour les entreprises, se pose aussi la question de la réglementation. Comment faire en sorte que leurs mesures de sécurité soient conformes aux règles étatiques et européennes ?

Guillaume Braux : Ce volet réglementation est plus récent, mais est devenu aussi important que le facteur humain ou le risque de malveillance. Ici, l’entreprise pourra encourir des amendes très élevées ou des dommages en termes de réputation. Être irréprochable en la matière est donc capital et Box pourra également accompagner les entreprises à ce sujet. En réalité, être conforme découlera de toutes les bonnes pratiques de sécurité mises en place par l’entreprise, qui passent également par la gestion du cycle de vie : le contrat d’un collaborateur ou d’un fournisseur est-il encore actif, et pour combien de temps ? C’est en répondant à ces questions que l’entreprise pourra élaborer avec Box sa politique de rétention des documents. Si un document doit être conservé dix ans, au bout de ce délai, il sera supprimé par Box, sans que l’organisation ait un droit de regard. C’est capital car, s’il n’est pas supprimé, la CNIL peut demander des comptes à ce propos. 

En matière de réglementation, la question de la signature électronique est également importante ; Box fournit ce service, inclus nativement dans nos solutions, pour apporter une valeur légale à une transaction documentaire. La signature électronique concerne principalement la signature de contrats avec des clients ou des collaborateurs, mais elle tend à s’imposer aussi de plus en plus pour des documents dont la valeur juridique est moindre mais importants néanmoins. 

Dernière dimension que je citerais en matière de règlementation : la souveraineté des données, importante pour un nombre croissant d’entreprises. Box héberge ainsi l’ensemble des datas de ses clients français sur le territoire français – il s’agit d’un engagement contractuel, et nous en faisons de même dans plusieurs pays européens. Nous pouvons même déléguer le chiffrement des données qui nous sont confiées à nos clients finaux, nous n’avons aucune visibilité sur celles-ci.