En 2015, ce sont par exemple les données des utilisateurs du site de rencontres extraconjugales Ashley Madison qui ont été rendues publiques. Et si nous remontons le temps, il est facile de constater qu’en 2014, Sony Pictures a été victime d’un vol d’informations confidentielles relatives à des employés et des films inédits. La même année, ce sont les coordonnées de plus de 1.3 million de clients Orange qui ont été divulguées. En 2013, Adobe a lui aussi été affecté par un piratage au cours duquel les données personnelles de 130 millions d’utilisateurs ont été dérobées. Les exemples ne manquent pas, et le constat est simple. Une étude Skyhigh Networks dévoilée en novembre dernier constate que les entreprises subissent en moyenne seize incidents de sécurité et 2.4 vols de données par mois. La récurrence de ces problèmes prouve à quel point les données constituent un objet de convoitise.
Les vols de données peuvent représenter pour les entreprises un coût colossal. Selon l’étude IBM/Ponemon Institute réalisée auprès de 350 entreprises dans 11 pays, le coût total consolidé moyen d’une violation de données est de 3,8 millions de dollars, ce qui représente une augmentation de 23% depuis 2013.
Ce coût varie notamment selon la nature du problème ayant causé une perte de données : ainsi, une erreur humaine peut coûter jusqu’à 134 dollars par donnée à réparer tandis que les frais iraient jusqu’à 142 dollars pour une panne système et 170 dollars par donnée pour une cyberattaque.
Au-delà de cet impact financier direct, il existe également des conséquences indirectes de ces vols de données. La réputation de l’entreprise peut être écornée de manière durable avec des conséquences tant en termes d’image qu’en termes financiers (chute de l’action en bourse, etc).
Mais cela ne s’arrête pas là. La divulgation de données confidentielles peut faire perdre à l’entreprise son avantage concurrentiel ou le réduire. Et l’entreprise peut également se voir contrainte d’indemniser les employés ou clients affectés. Enfin, sur le plan légal, une entreprise européenne est responsable des données qu’elle recueille.
Comme le spécifie la Commission Européenne, « les données personnelles ne peuvent être collectées légalement que sous de strictes conditions et dans un but légitime. De plus, les personnes physiques ou morales qui recueillent et gèrent vos informations personnelles doivent les protéger de tout usage abusif ».
L’Europe a fait de cette problématique un cheval de bataille et travaille actuellement à l’élaboration d’un cadre légal dédié : la General Data Protection Regulation (GDPR). Cette dernière vise à prendre en compte les problématiques spécifiques posées par les évolutions technologiques comme le cloud et les réseaux sociaux, qui étaient absentes du cadre juridique en vigueur élaboré en 1995.
Une entreprise qui met en péril les données de ses salariés ou clients peut donc en être tenue pour responsable devant la justice si elle n’a pas mis en œuvre des mesures suffisantes pour les protéger. Un principe qui s’applique d’ailleurs dans bien d’autres pays. Ainsi, au Canada, certains membres du site Ashley Madison touchés par la divulgation de leurs données personnelles ont déposé un recours collectif devant la justice, réclamant au total plus de 567 millions de dollars de dommages et intérêts.
Près de la moitié des vols de données sont causés par des cyberattaques ; 28% sont liés à des failles du système d’information lui-même ; enfin, le facteur humain est responsable dans 24% des situations. Une bonne protection des données ne se résume pas à empêcher les intrusions mais implique une approche plus globale ciblant aussi les données elles-mêmes.
1) Sécuriser l’infrastructure
Beaucoup d’entreprises s’y emploient en premier lieu, en installant des pare-feux, des anti-malwares et en effectuant les mises à jour nécessaires.
2) Adopter le chiffrement
Les données doivent être chiffrées tout au long de leur cycle de vie, aussi bien lorsqu’elles sont transférées que lorsqu’elles sont stockées. Dans les cas les plus sensibles, un moyen efficace de chiffrement est l’utilisation d’un module HSM (Hardware Security Module) ou « module matériel de sécurité ».
3) Assurer la traçabilité et l’intégrité
Il est essentiel de garder la maîtrise des accès et des actions effectuées afin de garantir une traçabilité optimale. Un dispositif d’authentification forte avec certificat électronique peut par exemple y contribuer, ou une authentification à double facteurs (un couple login/Mot de passe associé à l’envoi d’un SMS). Lorsque le niveau de confidentialité l’exige, il est vital pour l’entreprise d’exercer un contrôle accru sur les données. Par exemple en les isolant totalement du réseau de l’entreprise grâce à un logiciel hébergeant les données dans un cloud sécurisé, empêchant ainsi toute impression ou modification des documents.
4) Sauvegarder les données
La sauvegarde permet de se prémunir contre les erreurs humaines, les pannes matérielles ou les actes de malveillance. Il existe aujourd’hui des logiciels de sauvegarde dans le cloud qui assurent non seulement une sauvegarde automatique et paramétrable de vos données, mais qui se chargent aussi de les « redonder » : en d’autres termes, les données sont dupliquées sur une seconde infrastructure sécurisée ; en cas de défaillance de la première, les données sont ainsi toujours préservées.
5) Sensibiliser les salariés
L’entreprise doit informer les salariés sur le risque des pratiques comme le shadow IT (installation de logiciels sans l’aval de la DSI) ou encore le BYOD (Bring Your Own Device). De même, il est important que chacun prenne conscience des risques encourus en imprimant des fichiers, en transportant des documents sensibles, en échangeant des données confidentielles par des moyens de communication non sécurisés (e-mails, clés USB, etc) ou en travaillant dans une situation de mobilité.
6) Evaluer les risques et ou les faire évaluer
L’entreprise doit mettre en place des processus dans le but d’évaluer la vulnérabilité de l’entreprise aux cyberattaques et autres menaces susceptibles de mettre en péril les données. Mais au-delà de l’évaluation réalisée en interne, la gestion de la sécurité peut également être attestée par des certifications. Il existe par exemple une norme reconnue sur le plan international, la certification ISO 27001 : attribuée au terme d’audits externes réguliers, elle garantit « que l’entreprise maîtrise la sécurité de son information et des informations des tiers qu’elle manipule ».
7) Ne pas négliger la dimension légale
La notion de sécurité peut aussi prendre en compte la dimension légale en faisant appel à un prestataire européen hébergeant les données en Europe. Cette solution fait bénéficier à l’entreprise d’un cadre juridique strict en matière de protection des données.
Pour conclure et pour citer à nouveau l’étude IBM/Ponemon Institute, une entreprise met en moyenne 256 jours à s’apercevoir qu’elle est victime d’une cyberattaque : face à un délai si important, on mesure mieux à quel point il est primordial d’adopter une approche globale de la sécurité. Les données numériques sont de plus en plus souvent, la clé de voûte de l’activité d’une entreprise. Il devient indispensable de mettre en place des outils et des process adaptés pour les protéger.