La vie sociale et professionnelle est devenue numérique avec le développement rapide des technologies de l’information et leur omniprésence dans nos vies. A la suite de ce processus, les individus et les organisations ont intégré l’idée d’être connectés et de confier leurs besoins personnels et professionnels à des plateformes numériques. Celles-ci devenant des marchés mondiaux on a vu apparaitre des plateformes propres à chaque ligne d’activité de chaque secteur (réseaux sociaux, finances, communication, etc.). Tous les secteurs d’activité de ce marché mondial ont des bénéfices sociaux, politiques et économiques. L‘augmentation de l’activité numérique combinée à une addiction à la technologie et à une augmentation de la quantité de données stockées dans l’environnement virtuel a soulevé la question de la fuite des données et de la confidentialité des données personnelles. On sait que les sanctions nationales et internationales dans ce secteur sont sévères et on constate que ces sanctions ont des répercussions sur le renom et la valeur financière des individus et des institutions. Cette étude s’intéresse aux effets des fuites de données sur les entreprises : perte de réputation, sanctions financières et fidélité des utilisateurs.
Introduction
On entend par données à caractère personnel toute information concernant une personne physique identifiée ou identifiable. On peut par exemple citer des informations importantes comme la race, les caractères ethniques, les opinions politiques, la santé.
Qu’est-ce qu’une fuite de données ? Comment cela arrive-t-il ?
Une fuite de données est le résultat d’un accès non autorisé, de diffusion de données, de vol de données et de cyberattaques. Les cyberattaques, l’exploitation des vulnérabilités des systèmes d’information, les attaques d’ingénierie sociale sont aussi à l’origine de vols de données. Les attaques physiques contre les organismes et le vol de données par des employés sont des scénarios qui existent aussi aujourd’hui. Le responsable d’une fuite de données à la suite d’une attaque peut contacter l’institution pour en obtenir un avantage ou peut partager ces informations en les téléchargeant sur des plateformes proposant des services tels que réseaux sociaux, messagerie et beaucoup d’autres. On peut aussi noter que ces plateformes ne servent pas seulement à faciliter les communications entre les individus. Les entreprises y traitent aussi les données personnelles et les utilisent dans des domaines générateurs de profits. Aujourd’hui l’une des raisons principales des attaques est le profit financier. L’étude de cas d’attaques dans le monde entier montre que les cyberattaques peuvent passer inaperçues pendant de longue périodes dans le système qu’elles ont affecté. Il y très peu d’entreprises qui peuvent détecter ces attaques par leurs propres moyens.
L’observation des fuites de données montre que les PME sont plus affectées par des cyberattaques que les grandes entreprises. Si l’une des données d’une PME est l’objet d’une fuite ses concurrents peuvent l’utiliser pour détourner ses clients et même amener l’entreprise à fermer en lui volant des données et en l’amenant à la faillite en quelques années.
Les fuites de données
Si on regarde les plus importantes fuites de données connues, les 3 millions de comptes volés chez Yahoo en 2013, le parti de Trump conservant les données de 200 millions de personnes en clair sur les serveurs d’Amazon, les 150 millions d’utilisateurs de l’application de sports Under Armour, les fuites de données des compagnies aériennes, ne sont que les principales fuites de données qui attirent l’attention.
Le scandale Cambridge Analytica qui a touché Facebook a amené son président Mark Zuckerberg à aller témoigner devant les sénats des Etats-Unis et le Parlement Européen. On a appris que Cambridge Analytica avait un accès non autorisé aux données publiques sur Facebook d’ environ 87 millions de personnes dont le sexe, la localisation, les opinons politiques, les croyances religieuses, la correspondance privée, les sites et les profils qu’elles aimaient, influençant et changeant les préférences des utilisateurs .De plus en 2019 on a découvert que des données Facebook (évaluations d’utilisateurs, ‘likes’,noms d’utilisateurs) concernant plus de 540 millions de comptes Facebook ainsi que l’environnement cloud d’Amazon étaient accessible au public. Devant l’ampleur de toutes ces fuites le nombre des utilisateurs de Facebook aux Etats-Unis, un de ses marchés les plus lucratifs, a décru de 15 millions par an, et de 3 millions en Europe. Si on regarde la situation dans notre pays, la Turquie est le plus grand utilisateur de Facebook en Europe.
Une de plus importante fuite de données est celle d’Equifax en 2017. Equifax est l’agence de crédit américaine. En analysant la fuite de données chez Equifax et ses conséquences on a découvert que c’est une faiblesse du correctif qui a permis la fuite de données. Mais deux mois plus tard on a découvert que l’entreprise n’avait toujours pas installé les mises à jour nécessaires. De ce fait les pirates ont pu saisir les informations financières et les numéros de sécurité sociale de 145 millions de personnes.
Les conséquences des fuites de données sur la valeur financière et la valeur de la marque
En cas de fuite de données, la crise doit être gérée de la façon la plus transparente possible. Quand on poursuit l’analyse de la fuite chez Equifax on se rend compte que l’information n’a été rendue publique que 5 mois après la fuite, et on a appris alors que les dirigeants avaient vendu leurs actions. Son président a par ailleurs indiqué dans un programme télévisé auquel il a participé que la solution tragicomique était la nécessité de changer les numéros de sécurité sociale de tous ceux affectés par cette fuite. L’image de l’entreprise s’est encore détériorée et ce qui a conduit à la démission du PDG.
Les actions Equifax, elles, ont baissé spectaculairement en septembre 2015 lors de l’annonce de la fuite.L’entreprise, qui a été victime d’une des plus importantes attaques connues, va payer une amende de $ 700 millions en 2017 pour la fuite d’informations privées d’environ 150 millions s’utilisateurs dans la cyberattaque de 2017.
Facebook a été condamné à $ 5 milliards aux Etats-Unis et $ 645 000 au Royaume-Uni pour le scandale Cambridge Analytica.
Les entreprises qui sont affectées par des fuites de données subissent des pertes financières les domaines suivants:
- Baisse du prix de l’action
- Baisse du chiffre d’affaire
- Perte de clientèle
- Perte de compétitivité
- Sanctions
- Coût de la campagne pour rétablir leur réputation
On considère qu’au moment de la fuite de données les actions perdent environ 5%, selon le secteur d’activité. Les pertes dépendent aussi du domaine de la marque. Par exemple une entreprise du secteur financier victime d’une fuite souffrira plus qu’une entreprise du commerce de détail. Une marque qui est perçue comme ayant un haut niveau de sécurité rétablira sa situation financière plus facilement que si elle est perçue comme ayant un bas niveau de sécurité.
L’évaluation définitive du coût de la fuite comprend, la perte de la confiance et d’appartenance des consommateurs, la fin de de la relation entre le consommateur et la marque, l’émergence d’information négative dans les médias. De plus il est devenu clair que la fuite de données est un des trois éléments qui ont un impact négatif sur la valeur de la marque aux yeux des consommateurs (les deux autres sont une mauvaise relation avec la clientèle et le retrait de produit). Une entreprise victime d’une fuite de données peut alors devenir la cible d’attaques.
On peut toutefois noter que créer un fort sentiment de sécurité augmente la loyauté et la confiance de la clientèle. Le consommateur accorde de l’importance à la sécurité des données lors de l’achat de produits et de services pour éviter les vols de données, à un partage des données personnelles réduit, à une meilleure gestion de la sécurité des données, et à une attention plus soutenue portée au consommateur.
Dans les pays les plus sensibilisés à la sécurité des informations les fuites de données à une grande échelle sont considérées comme des échecs.
Les nécessaires changements institutionnels
Le principal facteur de fuite des données est que les entreprises gardent d’énormes quantités d’informations dans leur cyberenvironnement. Même si certaines entreprises ne traitent pas toutes les données qu’elles obtiennent elles conservent la plupart des informations client. Dans le cas d’une fuite de données les attaquants saisissent la plupart des données de la clientèle. On recommande donc aux entreprises de ne pas conserver les informations dont ils n’ont pas besoin.
Dans la fuite chez Equifax, si le correctif avait été installé à temps la vulnérabilité aurait été résolue avant d’avoir été exploitée. En bref, toutes ces fuites pourraient être évitées par des inspections régulières des infrastructures technologiques. Il faut donc que ces inspections soient effectuées régulièrement que ce soit dans une grande ou une petite entreprise. Les employés sont priés d’accéder aux données pour lesquelles ils sont accrédités.
En se penchant sur les conséquences des fuites de données on note que les entreprises ont aussi subi des pertes matérielles. Les sanctions imposées par les autorités nationales s’ajouteront à ces pertes. Toutes les entreprises qui détiennent des données personnelles devraient donc étudier avec soin la législation RGPD mise en place par l’Union Européenne et prendre les mesures adéquates.
Les institutions doivent accorder des crédits pour la sécurité, former leur personnel, inspecter leurs systèmes et sensibiliser leurs employés aux vecteurs d’attaque. Les plans d’action doivent être élaborés avant, pendant, et après la fuite de données.
![[FIC 2023] 4 enjeux essentiels pour survivre dans le Far West des noms de domaine](https://incyber.org/wp-content/uploads/2023/04/iStock-1410312530-480x300.jpg)
![[FIC 2023] Confiance dans le numérique : « On ne peut plus en croire ses yeux »](https://incyber.org/wp-content/uploads/2023/05/Plénière-480x300.png)
