Recherche

Protéger les données: au-delà de l'obligation, un état d'esprit!

Perdre ou se faire voler des données est une calamité pour l'entreprise, sa réputation et sa crédibilité. Pire : si des lacunes ou des inconséquences sont constatées, des sanctions financières peuvent s'appliquer. Véritable enjeu stratégique, la protection des données exige rigueur et méthode.

Publié par José Roda le | Mis à jour le
Lecture
10 min
  • Imprimer
Protéger les données: au-delà de l'obligation, un état d'esprit!

Protéger les données de l'entreprise est devenu, à la faveur de la nouvelle réglementation européenne et au regard de l'actualité, une priorité absolue. Au-delà de la perte de crédibilité, lorsqu'une entreprise se fait dérober les données de ses clients, l'impact financier est considérable. Une étude Ponemon pour IBM révèle ainsi qu'en 2015, en France, le coût moyen total par entreprise des fuites de données a atteint 3,12 millions d'euros (en augmentation de 3,3 % en un an) et de 134 euros (+ 2 euros) par donnée.

"Il faut tout mettre en oeuvre pour rassurer le consommateur qui n'accepte plus que les données qu'il confie, soient traitées avec légèreté."

Les plus grandes marques ont été victimes de vols de données d'envergure, et certaines d'entre elles ont même fait l'objet de sanctions de la part de la Cnil, à l'instar d'Optical Center qui, fin 2015, s'est vu infliger une sanction pécuniaire de 50000 € après que certains manquements dans la sécurisation et la confidentialité des données des clients ont été constatés.

Par ailleurs, une récente étude menée au Royaume-Uni publiée en janvier par Informatica (spécialisée dans la sécurisation des systèmes d'information) révèle que la moitié des consommateurs ne partagent plus de données personnelles en ligne en raison de leurs craintes concernant la sécurité. Bref, tout concourt à repenser la façon dont sont protégées les données de l'entreprise. Mais encore faut-il savoir quels leviers actionner pour atteindre une efficacité optimale sans pour autant, nuire à la productivité et à la rentabilité de l'entreprise...

1. Protection des données clients : vos obligations

Depuis le mois d'avril, la donne a changé ! La nouvelle réglementation européenne exige, au-delà de la transparence sur la collecte et le traitement des données, que les entreprises signalent à l'autorité de contrôle nationale, les violations de données qui font courir un risque aux personnes concernées. Elles doivent par ailleurs communiquer, au plus tard 72 heures après l'identification du problème, toutes les violations à haut risque. Le législateur a d'autre part prévu de lourdes amendes (pouvant atteindre 20 millions d'euros ou 4% du total du chiffre d'affaires annuel mondial) sanctionnant - entre autres - le manque de rigueur dans la sécurisation des données.

Éric Alix, chief data officer (groupe La Poste)

Pour Éric Alix, chief data officer pour le groupe La Poste (qui vient de se doter d'une charte data), "il faut tout mettre en oeuvre pour rassurer le consommateur qui n'accepte plus que les données qu'il confie, soient traitées avec légèreté". Conformément à l'article 57 de la nouvelle réglementation européenne, La Poste s'est également dotée d'un "chief protection officer" qui, selon Éric Alix, "se veut le garant des bonnes pratiques et assure une mission de contre-pouvoir dans la démarche de collecte et d'utilisation des données".



2. Dressez un état des lieux

Jérôme Granger, responsable de la communication (G Data Software)

Pour comprendre comment protéger au mieux les données de l'entreprise, un audit des données est nécessaire. Ce dernier doit répondre à différentes questions: Quelles bases de données sont disponibles et quel type de données recèlent-elles? À quel endroit ces bases sont-elles stockées, dans l'entreprise, dans un cloud distant? En France? À l'étranger? Qui a accès à ces données clients? S'agit-il de salariés de l'entreprise, des prestataires? Sont-ils en France?...

"Les réponses à ces questions impliquent des contraintes sécuritaires, mais également des contraintes réglementaires", explique Jérôme Granger, responsable de la communication pour G Data Software, spécialisée dans le développement de logiciels antivirus.

Jérôme Robert, chief marketing officer (Lexsi)

Pour Jérôme Robert, chief marketing officer pour Lexsi, cabinet réalisant des audits de sécurité, "il est souvent judicieux de se faire accompagner par des experts extérieurs à l'entreprise, car l'analyse du risque prend davantage de distance par rapport aux enjeux métier". Ce regard extérieur, qui permet de mesurer les forces et les faiblesses du système d'information, ne se cantonne pas à vérifier les dispositifs en place pour protéger les données. "Il faut tout faire entrer en ligne de compte car la menace vient de partout et à tout moment", confie Jérôme Robert.

Si un tel audit peut coûter environ 3 000 € HT pour une PME, certains projets peuvent dépasser les 100 000 € dans les cas les plus ambitieux. "L'essentiel consiste à admettre que ces audits doivent avoir lieu une fois par an, indique Jérôme Robert. Mais au-delà de la récurrence, les conclusions de l'audit doivent être suivies d'effet ! Car trop souvent, malgré nos rapports, nous retrouvons les mêmes lacunes d'une année sur l'autre."

3. Acceptez que la menace vienne (aussi) de l'intérieur

Le constat de Denis Gadonnet, directeur Europe du Sud pour Hexis Cyber solutions est clair : "Si les attaques liées au spam, au phishing, aux virus se multiplient, le principal vecteur de l'attaque, c'est bien l'utilisateur !" Il faut donc évangéliser les collaborateurs afin qu'ils adaptent leurs usages aux enjeux sécuritaires.

Pour l'expert, la formation ne suffit pas toujours, il faut parfois accepter des méthodes plus coercitives "en contrôlant, par exemple, les possibilités de navigation sur Internet au sein de l'entreprise". Le BYOD (Bring Your Own Device) et l'iOT (Internet of things) compliquent encore la tâche car ces deux tendances de fond, associées à la mobilité croissante des collaborateurs, multiplient les points d'entrée sur le système d'information et constituent autant de failles potentielles.

"Il ne faut pas tout miser sur les solutions technologiques."

La réponse, selon Jérôme Robert, c'est l'identity access management. "En créant des comptes utilisateurs auxquels sont donnés des privilèges d'accès, il est possible d'abord de contrôler l'accès au système d'information mais aussi d'assurer la traçabilité des opérations", explique le spécialiste. Ainsi, en cas de vol ou de compromission des données, il est possible de remonter à la source du problème et d'y apporter, dans les délais les plus brefs, une réponse adaptée. "Il ne faut pas tout miser sur les solutions technologiques, précise Jérôme Robert. Il ne sert à rien de poser une porte blindée si vous laissez les fenêtres ouvertes à l'étage ! Faites en sorte que les collaborateurs aient des comportements appropriés et vous vous préserverez déjà des menaces les plus courantes..."

La mise en place de restrictions au niveau des postes clients est nécessaire. Le blocage des ports USB, des partages cloud (dropbox et autres) et des lecteurs/graveurs de CD peut paraître extrême, mais il permet d'éviter autant que possible qu'un employé malhonnête n'exfiltre pas des données clients de l'entreprise.



4. Sécuriser les bases de données... mais pas que!

Denis Gadonnet, directeur Europe du Sud pour Hexis Cyber solutions

"Toutes les entreprises ne sont pas soumises de la même façon aux menaces, explique Denis Gadonnet. Mais les pirates informatiques sont des opportunistes, et ils traquent les brèches les plus courantes." Le niveau d'exposition de la base client est donc à prendre en considération afin de déployer l'arsenal de protections nécessaires.

Une base de données connectée à un serveur web dans le cadre d'une authentification de compte client en ligne est, par nature, plus exposée que des données clients isolées sur un serveur déconnecté d'Internet. "Toutefois, ceci n'est pas une vérité immuable, précise Jérôme Granger. Les logiciels de rançon peuvent, par exemple, utiliser un poste client mal protégé pour scanner le réseau de l'entreprise à la recherche de base de données à chiffrer. Celles-ci peuvent ainsi être attaquées même si elles ne sont pas en ligne. "

Le principal vecteur de l'attaque, c'est bien l'utilisateur !

Les failles dans les systèmes d'exploitation, les serveurs web et SQL sont également très régulièrement utilisées par les attaquants. À titre d'exemple, dans l'affaire des Panama Papers où quelque 2,6 To de données ont été dérobés puis divulgués, il est apparu que le cabinet Fonseca utilisait Wordpress pour son site internet et que la base de données contenant tous les fichiers clients était stockée sur le même serveur! Quant au portail utilisé par les clients pour s'identifier, il recelait à lui seul 25 vulnérabilités identifiées. De telles lacunes ne sont malheureusement pas rares, et la nouvelle réglementation européenne prévoit de sanctionner ces comportements inconséquents.

5. Soyez rigoureux sur toutes les mises à jour...

Se protéger des malveillances des pirates informatiques, c'est le jeu du chat et de la souris. "La menace informatique a toujours été là, déclare Éric Alix. Mais avec les progrès technologiques, le rythme a changé et il faut s'adapter en permanence." Ainsi, lorsque l'on considère que le serveur mail du cabinet Fonseca n'avait pas été mis à jour depuis 2009, on comprend mieux que de tels volumes de données aient pu être dérobés!

En assurant la mise à jour de l'ensemble de l'arsenal applicatif utilisé dans l'entreprise, il est possible de se prémunir des failles de sécurité les plus courantes. "Les pirates informatiques lancent de vastes attaques, déclare Denis Gadonnet. S'ils trouvent trop de résistance dans un système d'information, ils s'attaquent à une autre proie... "

6. Déployez une protection à 360°

Imaginer que vous trouverez une solution logicielle à l'ensemble des problématiques de protection des données est illusoire. C'est un ensemble de mesures et de dispositifs qui devra être mis en oeuvre pour contribuer à sécuriser le système d'information. Commencez par chiffrer l'ensemble des informations clients, y compris les sauvegardes. "Et parce que 100 % des vols de données passent par des attaques, le réseau de ­l'entreprise doit être sécurisé, déclare Jérôme Granger. Le minimum requis est le pare-feu, l'antivirus sur tous les postes clients et les serveurs, ainsi que le filtrage antispam et antivirus des e-mails. " Mais il faut encore aller plus loin. On peut en effet considérer qu'un tiers des attaques virales sont réalisées à travers des exploits kits (exploitation de failles logicielles). En déployant un système de patching centralisé, ­appliquant automatiquement les correctifs à mesure qu'ils sont publiés, vous limiterez votre exposition aux menaces!

Fuite de données confidentielles dans les centres de contacts AT&T

Retrouvez cet article sur : www.relationclientmag.fr - "AT&T condamné pour vol de données confidentielles"

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page