Une dirigeante m'a confié un jour qu'elle ne « collectait pas vraiment de données personnelles ». Son fichier clients comptait pourtant plusieurs milliers de noms, d'adresses et de numéros de téléphone, sans la moindre protection particulière. Protéger ses données personnelles en entreprise commence par cette prise de conscience : presque toute activité manipule des données dont la loi vous rend responsable. Concrètement, la vraie question n'est pas « ai-je des données sensibles », mais « que se passe-t-il, légalement et financièrement, le jour où elles fuient ».
Le sujet mêle obligation légale, protection technique et bon sens organisationnel. Bonne nouvelle : l'essentiel repose sur des mesures simples, à condition de les tenir. Posons le cadre.
Comment protéger ses données personnelles ?
Protéger les données d'une entreprise, qu'il s'agisse des informations clients ou de celles des employés, repose sur un socle de mesures simples appliquées avec constance. Aucune n'est spectaculaire, mais leur absence se paie cher.
Quatre piliers couvrent l'essentiel du risque pour une PME.
Des sauvegardes régulières
C'est la première protection, et la plus négligée. Une sauvegarde régulière vous garantit un « back-up » en cas de panne, de vol ou d'attaque. L'idéal combine une copie dans le cloud et une copie sur un support externe, pour ne jamais dépendre d'un seul emplacement. J'y reviens plus bas avec une règle simple à retenir.
Des mots de passe solides
Un mot de passe d'au moins huit caractères mêlant majuscules, minuscules, chiffres et caractères spéciaux, renouvelé quand c'est pertinent et jamais réutilisé d'un service à l'autre. On évite les dates de naissance et les prénoms, trop faciles à deviner. Un gestionnaire de mots de passe rend cette discipline beaucoup plus simple à tenir.
Un antivirus à jour
Indispensable dès que les collaborateurs naviguent sur Internet. Un simple clic sur un lien piégé ou un téléchargement douteux peut compromettre toute la base de données. À cela peut s'ajouter une restriction d'accès aux sites non sûrs, gérée au niveau de l'entreprise.
La sensibilisation des collaborateurs
La plupart des fuites partent d'une erreur humaine, pas d'une attaque sophistiquée. Former et informer les équipes reste la mesure la plus rentable. Un collaborateur qui sait reconnaître une tentative d'hameçonnage ou de manipulation évite la majorité des incidents.
À retenir : la protection des données ne repose pas sur un outil miracle, mais sur quatre fondamentaux tenus dans la durée : sauvegardes, mots de passe solides, antivirus à jour et collaborateurs sensibilisés. C'est peu coûteux, et c'est ce qui arrête la majorité des incidents.
Le cadre légal : le RGPD et vos obligations
Protéger les données n'est pas qu'une bonne pratique, c'est une obligation légale. En France, la protection des données personnelles est encadrée depuis 1978, et renforcée par le RGPD (Règlement général sur la protection des données, le cadre européen entré en application qui régit le traitement des données personnelles). Il impose de protéger les données à caractère personnel contre tout traitement illégal ou non autorisé. Une entreprise cybersécurité peut vous aider à structurer cette conformité, mais la responsabilité reste la vôtre.
Qu'est-ce qu'une donnée personnelle au sens du RGPD ?
Une donnée personnelle est toute information permettant d'identifier une personne, directement ou indirectement : un nom, une adresse, un numéro de téléphone, un e-mail, un identifiant client, parfois une simple adresse IP. Beaucoup de dirigeants sous-estiment l'ampleur de ce qu'ils détiennent. Dès que vous tenez un fichier clients ou un registre du personnel, vous traitez des données personnelles, et le RGPD s'applique à vous.
Quelles sont les obligations RGPD d'une PME ?
Les obligations sont proportionnées, mais réelles, même pour une petite structure. En pratique : tenir un registre des traitements de données, ne collecter que les données nécessaires, les sécuriser contre les accès non autorisés, informer les personnes de l'usage de leurs données et de leurs droits, et être capable de réagir en cas de fuite, avec une notification sous 72 heures dans les cas graves. Ce n'est pas un exercice purement administratif : en cas de manquement, les sanctions peuvent être lourdes. Mais l'esprit du texte rejoint le bon sens, ne gardez que ce qui vous est utile, et protégez-le.
Sauvegarde et stockage : où et comment garder ses données
La sauvegarde mérite qu'on s'y attarde, parce que c'est elle qui fait la différence le jour d'un incident. Encore faut-il la concevoir correctement.
Qu'est-ce que la règle de sauvegarde 3-2-1 ?
C'est un repère simple et éprouvé. Conservez au moins trois copies de vos données, sur deux types de supports différents, dont une copie hors site, isolée de votre réseau. Concrètement, vos données en production, une sauvegarde locale sur un disque externe, et une sauvegarde distante dans le cloud. L'intérêt : aucun incident unique, ni panne, ni vol, ni rançongiciel, ne peut détruire toutes vos copies en même temps. C'est la règle qui vous permet de redémarrer quoi qu'il arrive.
Où stocker ses données : cloud ou stockage local ?
Les deux ont leur place, et se complètent plutôt qu'ils ne s'opposent.
| Critère | Cloud | Stockage local (disque, serveur) |
|---|---|---|
| Accessibilité | Depuis partout, utile en déplacement | Limitée au réseau de l'entreprise |
| Investissement initial | Faible, facturé à l'usage | Achat du matériel |
| Maintenance | Assurée par le fournisseur | À votre charge |
| Dépendance | À la connexion et à l'hébergeur | Au bon état du matériel |
| Point de vigilance | Vérifier la localisation des données (RGPD) | Vulnérable en cas de vol ou sinistre local |
Pour une PME, la combinaison des deux, suivant la logique 3-2-1, offre le meilleur compromis. Le cloud reste accessible en déplacement à l'étranger, et quand l'accès fait défaut, une connexion vpn permet de rejoindre ses ressources en sécurité.
Point clé pour la décision : ne choisissez pas entre cloud et local, combinez-les selon la règle 3-2-1. Et testez vos restaurations : une sauvegarde jamais vérifiée est une fausse sécurité.
Aller plus loin : audits et tests d'intrusion
Au-delà des fondamentaux, deux démarches permettent de savoir où vous en êtes vraiment, plutôt que de le supposer.
L'audit de sécurité dresse un bilan précis de votre niveau de protection : ce qui est en place, ce qui manque, ce qui est mal configuré. Il donne une photo honnête de votre exposition. Le test d'intrusion va plus loin en simulant une attaque réelle.
Qu'est-ce qu'un test d'intrusion (pentest) ?
Un test d'intrusion, ou pentest (de « penetration testing »), consiste à faire attaquer volontairement votre système par des spécialistes, dans un cadre contrôlé, pour découvrir les failles avant que de vrais attaquants ne le fassent. C'est l'équivalent d'engager quelqu'un pour tenter de cambrioler vos locaux afin d'en révéler les points faibles. Pour une PME aux données sensibles, c'est un investissement utile, à condition d'avoir d'abord traité les fondamentaux. Inutile de simuler une attaque sophistiquée si les mots de passe sont faibles et les sauvegardes absentes.
Comprendre ce que vous protégez : la donnée informatique
Pour bien protéger, il aide de comprendre ce qu'est une donnée. Une donnée informatique est une information traitée ou stockée par un ordinateur, depuis un document texte ou une image jusqu'à un logiciel ou un fichier audio. Techniquement, elle se réduit à une suite de 0 et de 1, traitée par le processeur et conservée sur un support de stockage. Ce qui compte pour vous, c'est qu'une donnée a une valeur, parfois critique, et qu'elle doit être protégée à hauteur de cette valeur.
Quels sont les différents supports de stockage des données ?
Les supports courants vont de la clé USB (mémoire flash) au disque dur classique (HDD) ou à semi-conducteurs (SSD, plus rapide et plus robuste), en passant par le stockage optique (CD, DVD, Blu-ray) et la mémoire vive (RAM) qui ne conserve rien une fois l'appareil éteint. À cela s'ajoute le cloud, particulièrement pratique en déplacement. Chaque support a ses usages, mais aucun n'est éternel : un disque tombe en panne, une clé se perd. C'est précisément pourquoi la sauvegarde ne repose jamais sur un seul support.
Par où commencer concrètement
Protéger ses données, c'est d'abord tenir quatre fondamentaux peu coûteux : sauvegardes régulières, mots de passe solides, antivirus à jour et collaborateurs sensibilisés. C'est aussi une obligation légale au titre du RGPD, qui rejoint le bon sens : ne gardez que les données utiles, et protégez-les à hauteur de leur valeur. Pour les sauvegardes, la règle 3-2-1 et des restaurations testées font la différence le jour d'un incident.
Ce qu'il faut arbitrer : la valeur réelle de vos données, votre exposition et les moyens que vous y consacrez. Pour avancer, partez d'un état des lieux honnête. Savez-vous quelles données personnelles vous détenez, et où elles sont stockées ? Vos sauvegardes suivent-elles la règle 3-2-1, et ont-elles déjà été testées en restauration ? Vos mots de passe et vos accès sont-ils sérieusement gérés ? Êtes-vous en mesure de réagir à une fuite dans les délais du RGPD ? Ces questions valent un premier audit. Une fois la situation claire, un prestataire spécialisé peut vous aider à combler les écarts et, si vos données le justifient, à mener un audit ou un test d'intrusion approfondi.
> Quelles sont les mesures de sécurité à prendre pour votre site internet ? > Comment protéger ses données personnelles ? > À quoi sert une donnée informatique ?