Quel est le point commun entre Uber, Yahoo ou encore Sony et son service Playstation Network ? Toutes ces multinationales se sont récemment fait pirater des données confidentielles relatives à leurs clients (noms, prénoms, adresses emails voire coordonnées bancaires), et ce à grande échelle.
Du fait de leur ampleur, ces exemples de cybercriminalité ont fait la une des journaux et ont mis en lumière la nécessité de protéger ces données contre les hackers ou les groupes malveillants cherchant à monnayer les informations provenant de ces vols.
Ce type de piratage peut être mené depuis l’extérieur mais aussi par des salariés au sein même de l’entreprise (appelés les « insiders ») qui, par inadvertance ou de façon délibérée, font sortir de l’entreprise des données auxquelles ils ont accès. Pour se faire, il n’est pas forcément nécessaire de mettre en œuvre des moyens importants et complexes : le transfert de fichiers via l’application Dropbox ou via une clé USB par exemple peut entraîner la mise à disposition d’un volume important d’informations sensibles à des personnes mal intentionnées, tout en échappant au contrôle des équipes de gestion des systèmes d’information.
Cloisonnement de l’information
Les fuites de données ne se produisent pas uniquement au sein de l’environnement numérique. Dans de nombreuses organisations, il n’est pas rare que des données sensibles en version papier soient exposées aux yeux de tous : un contrat oublié sur une imprimante, un devis mis à la poubelle sans précaution ou encore un document confidentiel insuffisamment sécurisé.
Pour limiter les risques, tant sur les documents physiques que numériques, un facteur est trop souvent oublié : celui de l’humain. D’où la nécessité de sensibiliser des équipes à cet enjeu. Mettre en place un système de classification de la sensibilité de l’information, par exemple en définissant des niveaux de sécurisation, représente une première étape. Les documents peuvent avoir différents niveaux de sensibilité : public, diffusion limitée, confidentiel industrie, confidentiel…
Chaque entreprise, en fonction de ses usages et de son domaine d’activité, doit définir sa politique en la matière et déterminer les droits d’accès (quel collaborateur peut accéder à quelle information). Et surtout, elle doit prévenir son personnel des menaces potentielles liées au vol de données et l’alerter sur le niveau de sensibilité des informations qu’il manipule. Ainsi, le montant d’un devis ou les réglages de certains équipements, éléments apparemment anodins, peuvent être considérés comme des informations stratégiques pour la concurrence ou pour un attaquant qui souhaiterait les vendre.
Une fois les mécanismes de classification et de protection des données définis, reste encore à les mettre en place et les faire adopter.
En termes de matériel, il convient aussi d’être vigilant et de ne pas laisser un ordinateur portable ou un smartphone professionnel sans surveillance dans des espaces publics. S’ils sont déverrouillés, ils représentent autant de points d’entrées (accès aux boîtes emails ou aux dossiers) pour des personnes mal intentionnées.
Dans ce contexte, l’entrée en vigueur du RGPD – règlement européen sur la protection des données personnelles – le 25 mai 2018 doit permettre de responsabiliser les acteurs traitant des données personnelles. Mais une nouvelle fois, cette réglementation, qui va dans le bon sens pour les citoyens et formalisera un certain nombre d’obligations, ne résoudra pas tout. Car toutes les technologies du monde ne suffiront pas si le facteur humain n’est pas pris en compte.
Du fait de leur ampleur, ces exemples de cybercriminalité ont fait la une des journaux et ont mis en lumière la nécessité de protéger ces données contre les hackers ou les groupes malveillants cherchant à monnayer les informations provenant de ces vols.
Ce type de piratage peut être mené depuis l’extérieur mais aussi par des salariés au sein même de l’entreprise (appelés les « insiders ») qui, par inadvertance ou de façon délibérée, font sortir de l’entreprise des données auxquelles ils ont accès. Pour se faire, il n’est pas forcément nécessaire de mettre en œuvre des moyens importants et complexes : le transfert de fichiers via l’application Dropbox ou via une clé USB par exemple peut entraîner la mise à disposition d’un volume important d’informations sensibles à des personnes mal intentionnées, tout en échappant au contrôle des équipes de gestion des systèmes d’information.
Cloisonnement de l’information
Les fuites de données ne se produisent pas uniquement au sein de l’environnement numérique. Dans de nombreuses organisations, il n’est pas rare que des données sensibles en version papier soient exposées aux yeux de tous : un contrat oublié sur une imprimante, un devis mis à la poubelle sans précaution ou encore un document confidentiel insuffisamment sécurisé.
Pour limiter les risques, tant sur les documents physiques que numériques, un facteur est trop souvent oublié : celui de l’humain. D’où la nécessité de sensibiliser des équipes à cet enjeu. Mettre en place un système de classification de la sensibilité de l’information, par exemple en définissant des niveaux de sécurisation, représente une première étape. Les documents peuvent avoir différents niveaux de sensibilité : public, diffusion limitée, confidentiel industrie, confidentiel…
Chaque entreprise, en fonction de ses usages et de son domaine d’activité, doit définir sa politique en la matière et déterminer les droits d’accès (quel collaborateur peut accéder à quelle information). Et surtout, elle doit prévenir son personnel des menaces potentielles liées au vol de données et l’alerter sur le niveau de sensibilité des informations qu’il manipule. Ainsi, le montant d’un devis ou les réglages de certains équipements, éléments apparemment anodins, peuvent être considérés comme des informations stratégiques pour la concurrence ou pour un attaquant qui souhaiterait les vendre.
Une fois les mécanismes de classification et de protection des données définis, reste encore à les mettre en place et les faire adopter.
En termes de matériel, il convient aussi d’être vigilant et de ne pas laisser un ordinateur portable ou un smartphone professionnel sans surveillance dans des espaces publics. S’ils sont déverrouillés, ils représentent autant de points d’entrées (accès aux boîtes emails ou aux dossiers) pour des personnes mal intentionnées.
Dans ce contexte, l’entrée en vigueur du RGPD – règlement européen sur la protection des données personnelles – le 25 mai 2018 doit permettre de responsabiliser les acteurs traitant des données personnelles. Mais une nouvelle fois, cette réglementation, qui va dans le bon sens pour les citoyens et formalisera un certain nombre d’obligations, ne résoudra pas tout. Car toutes les technologies du monde ne suffiront pas si le facteur humain n’est pas pris en compte.
Autres articles