![Vulnérabilité des données : les entreprises doivent renforcer leur sécurité [par Sofia Rufin, Vice présidente régionale de Brainloop]](https://incyber.org//wp-content/uploads/2024/03/adobestock-749446930-1920x735.jpeg)
Vulnérabilité des données : les entreprises doivent renforcer leur sécurité par Sofia Rufin, Vice présidente régionale de Brainloop
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Extorsion de fonds, espionnage industriel, revente à des fins criminelles, les données des entreprises sont aujourd’hui au cœur d’un vaste trafic qui représente des milliards de dollars dans le monde. Les failles de sécurité au sein des entreprises ont eu pour conséquence une recrudescence d’attaques informatiques qui n’ont pas manqué de faire la une des médias. Les données étant devenues hautement monnayables, les cyber-pirates analysent les vulnérabilités qu’ils peuvent exploiter et s’attaquent à tous les secteurs, banques, entreprises de e-commerce, industriels, gouvernements, multinationales ou PME. La conclusion pour les entreprises est aujourd’hui sans appel, le risque zéro n’existe pas.
Propulsées à l’ère de la transformation numérique et de la dématérialisation des processus, les données sont devenues la clef de voute de la stratégie des entreprises dont le développement repose sur leur confidentialité. L’information est au cœur du fonctionnement de l’entreprise. Que ce soit dans le cadre d’une fusion-acquisition, d’un programme de R&D ou d’une stratégie de développement, les entreprises détiennent des milliers (voire des millions) de données qu’elles disséminent au sein ou à l’extérieur de l’entreprise.
Pourtant, si la plupart des entreprises ont déjà investi dans de nombreuses solutions de sécurité (anti virus, pare-feu, IDS, anti-spam, …), il semblerait que leurs données ne soient pas aussi bien protégées qu’elles le pensent. Chaque jour, les menaces augmentent et deviennent de plus en plus sophistiquées, exposant la vulnérabilité des entreprises.
La médiatisation quotidienne des affaires de vols de données a renforcé la conviction que les entreprises doivent remettre en cause leurs systèmes de sécurité. Suite au vol de données de clients, la PDG du fournisseur d’accès internet britannique TalkTalk a admis que les données sensibles des clients « n’étaient pas chiffrées ». Récemment, c’était le fabricant de jouets VTech qui annonçait le vol de 4,8 millions de comptes de parents concernés et de 6,3 millions de profils d’enfants dans le monde, poussant les experts à se pencher sur ce cas. Ainsi, Troy Hunt, chercheur australien en sécurité, mentionnait dans la presse que les systèmes qu’il avait analysés étaient équipés d’une technologie qui datait de plus de 5 ans. En effet, il n’est pas rare aujourd’hui de rencontrer des entreprises qui possèdent des systèmes de sécurité obsolètes et qui se mettent ainsi elles-mêmes en danger n’ayant plus les outils pour se protéger efficacement. Le fabricant concédait d’ailleurs que sa base de données n’était, hélas, pas aussi sécurisée qu’elle aurait dû l’être. Un constat loin d’être rassurant pour les clients dont les données ont été volées.
Les développements informatiques ont donné une nouvelle dimension aux entreprises qui ont connu une croissance rapide de leurs données et qui ont vu la gestion de l’information profondément changer. La banalisation, entre autre, de l’email, du haut-débit ou encore de la mobilité ont permis aux entreprises d’accroître leur productivité et de franchir les frontières sans contrainte de temps, mais elles se sont aussi laissées dépasser. La digitalisation massive des données exige une attention particulière que les entreprises n’ont pas su forcément donner et qui s’est avérée être une faille exploitable pour les cyber-pirates.
Souvent mis de côté, l’aspect humain s’avère être un facteur à risque pour l’entreprise. Erreurs involontaires qui peuvent mener à des attaques par phishing, extorsions d’informations par arnaque, pertes ou vols d’ordinateurs professionnels sont autant d’exemples qui révèlent une contradiction entre le sentiment de sécurité ressenti par les salariés d’une entreprise et les risques encourus. L’email est surement l’outil le plus utilisé par les salariés, il n’en reste pas moins une source de vulnérabilité dans les entreprises. Indispensables à toute collaboration, utiles pour ceux qui voyagent tout en restant en contact avec leurs équipes, des milliards d’emails sont envoyés sans que personne ne remette en question leur usage pour l’envoi d’informations stratégiques.
La faille sécuritaire peut donc provenir, et cela involontairement, de n’importe quel service et à n’importe quel niveau de l’entreprise – du P-DG à un assistant. Pour répondre à cette problématique, les entreprises doivent intervenir en sensibilisant les salariés et en leur faisant comprendre les enjeux.
Outre les implications en termes de visibilité et d’image, et le potentiel impact commercial, le vol de données, dû à leur manque de sécurisation, va maintenant prendre une dimension juridique. Alors que la loi européenne impose déjà un devoir de sécurisation et demande que les entreprises prennent toutes les « mesures techniques et organisationnelles appropriées », l’état français, soucieux de voir les entreprises instaurer des bonnes pratiques dans le cadre de la gestion des données, souhaiterait mettre en place au travers du projet de loi ‘la République Numérique’, une procédure encadrée par la Cnil. L’organisme pourra ainsi prononcer des sanctions financières à l’égard des entreprises ayant perdu des données personnelles.
Des implications multidimensionnelles lourdes qui ne doivent, en aucun cas, être sous-estimées. Le développement sur le long terme des entreprises en dépend. Il est donc crucial pour les entreprises de se préparer dès aujourd’hui à toute menace et de mettre en place une politique de sécurité rigoureuse et transparente, incluant des outils de protection adaptés à leurs besoins.
Quelles recommandations pour parer à toute éventuelle menace
- – Intégrer la composante sécurité dès la définition de la stratégie numérique
D’après une étude de Roland Berger Strategy Consultants, si 57% des entreprises identifient le numérique comme un axe stratégique à moyen terme, seules 36% d’entre elles ont formalisé une stratégie adaptée. Pourtant, le multi-canal, les relations clients et l’optimisation des processus internes reposent de plus en plus sur la dématérialisation qui ne peut avoir un impact positif qu’après définition précise des objectifs. La sécurisation des données dématérialisées, qui est cruciale au succès de la stratégie, doit être incluse tôt dans le processus.
- – Eviter de succomber à la paranoïa numérique
Certes, les risques existent. Certes, les cyber-pirates sont plus que jamais à l’affut. Mais en aucun cas il ne faut succomber à la peur numérique, qui serait contre-productive et limiterait les opportunités de développement des entreprises. Des outils de protection des données adaptés aux besoins des entreprises garantissent un partage et un stockage des données sécurisés
- – Mettre en place une politique de sécurité à portée de tous
Comme tout projet de transformation qui marque une rupture, la résistance au changement est un facteur important. La sécurisation qui doit accompagner ce changement peut être perçue comme complexe et contraignante, freinant les employés cherchant à atteindre leurs objectifs. Pour un résultat optimal, les plateformes sélectionnées par les entreprises doivent donc s’intégrer facilement dans l’environnement de travail, pour assurer un haut niveau d’acceptation par les utilisateurs, tout en répondant aux besoins des entreprises en matière de sécurité.
- – Instaurer une formation sécurité
N’oublions pas que dans beaucoup de cas, la faille sécuritaire est interne. De nouvelles normes en matière de sécurité doivent être créées auxquelles tous les membres d’une entreprise, quel que soient leur métier ou leur titre, doivent être formés. Les menaces, les risques et les mesures de sécurité auxquels les salariés peuvent être confrontés, doivent faire partie de toute formation au sein des entreprises.
- – Prévenir plutôt que guérir
En 2014, 55% des entreprises françaises ont déclaré avoir été victimes de fraudes. Un chiffre éloquent qui renvoie à une réalité : toute entreprise est concernée. Il ne s’agit plus tant de savoir si elles vont se faire attaquer mais quand ! Pourtant, d’après une étude du CXP, les priorités d’investissement des entreprises sont tout d’abord les services de détection et de réaction. En deuxième place vient la mise en œuvre des solutions et en dernier la prévention. Une politique sécuritaire désuète qui, en cas d’attaque, demande beaucoup d’effort aux entreprises en termes de gestion de crise. Deux facteurs viennent également jouer en défaveur des entreprises : le temps, puisque le délai moyen pour la résolution d’une cyber-attaque est de 46 jours et le coût, qui peut représenter pour une attaque jusqu’à 3,79 millions de dollars par entreprise. Attendre n’est plus une possibilité.
- – Ne pas rejeter le Cloud pour tout ce qui est sécurité
Malgré les nombreuses solutions présentes sur le marché, le Cloud s’est imposé au cours des dernières années comme la solution offrant le plus de flexibilité et de fiabilité. Parmi ces offres basées sur le Cloud, il est important de choisir celle qui permettra de stocker les données sur des serveurs installés dans des centres de données certifiés, dans chaque pays où le fournisseur est opérationnel pour que les données n’aient pas à traverser les frontières. Certaines plateformes incluent par ailleurs des fonctions de sécurité multiples et sophistiquées telles que le chiffrement des données sur le serveur et pendant leur transfert, une protection fournisseur et administrateur, ainsi qu’une authentification à plusieurs niveaux, pour assurer une sécurisation optimale.