Face aux cyber-risques, la protection des données devient clé pour protéger son organisation

Explosion des vols de données et des coûts induits : La protection des données devient un enjeu majeur pour les entreprises et organisations.

Les vols de données sont devenus de plus en plus fréquents ces dernières années, avec des conséquences importantes pour les entreprises et les organisations. Ces vols peuvent causer des dommages financiers importants, tels que des pertes de revenus et des coûts de récupération de données, mais également des dommages sur la réputation et la confiance des clients. En raison de ces risques croissants, la protection des données est devenue un enjeu majeur pour les entreprises et les organisations.

Comme l'illustre la Commission Nationale de l'Informatique et des Libertés (CNIL) dans son rapport publié en mai 2022, avec 5037 occurrences, une augmentation des vols de données de 79% entre 2020 et 2021. Selon le Ponemon Institute, en 2022, le coût total moyen d'une violation de données était de 4,35 millions de dollars et le délai moyen pour l'identifier de 207 jours, auxquels s'ajoutaient 70 jours supplémentaires pour la neutraliser.

Les entreprises doivent mettre en place des mesures de sécurité pour protéger les données qu'elles collectent, stockent et utilisent, et doivent également être transparentes quant à la manière dont elles gèrent les données. Lorsque l'on s'intéresse à la protection des données, on se préoccupe souvent en priorité des données personnelles et des obligations mises à la charge du responsable de traitement par le RGPD (Règlement général sur la protection des données). Cette approche est quelque peu restrictive dans la mesure où les données nécessaires à une organisation pour accomplir ses missions vont largement au-delà des données personnelles de ses utilisateurs, clients, collaborateurs ou partenaires. On peut notamment retrouver parmi les données à protéger des projets de recherche, des éléments comptables et financiers, des contrats de partenariat, des processus de fabrication, etc.

Il est donc nécessaire que les organisations prennent conscience de l'existence, du volume et de la valeur de l'ensemble de leurs données afin de mieux les protéger tout au long de leur cycle de vie. S'il semble relativement aisé d'acquérir rapidement une visibilité correcte sur les données structurées (données incluses dans les bases de données), il n'en est pas de même pour les données non-structurées (données sans format prédéfini : documents Office, fichiers PDF, etc.).

Se protéger contre les risques cyber, 5 points clés :

Pour se protéger contre les risques cyber, les entreprises et les organisations doivent mettre en place des mesures de sécurité adéquates.

I.               Afin de protéger les données d'une organisation, la première action à entreprendre est de procéder à leur classification en fonction de leur sensibilité, de leur importance et de leur utilisation prévue. Cette étape est primordiale et permet de déterminer les mesures de sécurité à mettre en place pour protéger les données et de s'assurer qu'elles sont utilisées de manière appropriée. La classification des données répond à un enjeu relativement simple : identifier les données et les hiérarchiser selon leur valeur et les réglementations associées. Pour classifier les données, il convient dans un premier temps de définir des règles et des niveaux de classification (e.g. public, interne, confidentiel, secret) avant de procéder au marquage des documents et autres supports de données dès leur création, ou lors de l'acquisition des données. La mise en application de ces règles doit impérativement s'accompagner d'une campagne de sensibilisation des utilisateurs. Par ailleurs, l'utilisation d'un outil permettant d'indiquer le niveau de classification en filigrane et/ou dans les métadonnées du document pourra être judicieuse pour faciliter la déclinaison opérationnelle des règles définies.

II.             Il paraît opportun de se pencher sur la manière dont il faut protéger contre l'interception et la divulgation les données en transit (les données en cours de déplacement d'un endroit vers un autre). L'objectif est alors double : définir quels sont les médias adaptés aux transferts de données selon leur niveau de classification (messagerie instantanée, e-mail, plateforme sécurisée, etc.) et implémenter les outils de sécurité requis (chiffrement, Data Loss Prevention, etc.). Un document confidentiel ne pourra être envoyé que par e-mail chiffré alors qu'un document public pourra être partagé via un outil de visioconférence sans aucune restriction.

III.            Il est nécessaire de se soucier de la protection des données stockées contre l'extraction et la diffusion non autorisée. La finalité est alors de définir les emplacements et les mesures de sécurité adaptées au stockage des données selon leur niveau de classification et de manière à en faciliter l'accès et l'utilisation. Par extension, certains endroits seront prohibés pour l'entreposage des données les plus critiques. La question à laquelle il faut répondre est alors relativement simple : quel est le niveau de classification maximum acceptable des documents stockés sur un serveur de fichiers, dans un SharePoint ou sur le disque dur local d'un laptop ? La réalisation d'un inventaire des données, manuel ou, plus efficacement, au moyen d'un outil dédié permettra le plus souvent de découvrir la présence de données dans des espaces de stockage totalement inadaptés à leur niveau de sensibilité.

IV.           Afin de garantir la protection des données contre la corruption, le vol ou la suppression, qu'elles soient d'origine accidentelle ou malveillante, deux éléments doivent être déterminés : la périodicité, qui devra être adaptée à la fréquence de mise à jour des données, et la durée de rétention, qui devra permettre de garantir une restauration des données dans les cas de figure les plus défavorables. La protection des données stockées ne sera pas complète sans une gestion fine des accès selon le principe du moindre privilège et suivant une politique basée sur le besoin d'en connaître. Les accès seront d'autant plus restreints que le niveau de classification est élevé. La gestion des accès inclura nécessairement une coordination étroite avec les services RH pour accorder les accès lors de l'arrivée du collaborateur et les supprimer immédiatement en cas de départ ou de modification du poste. Il sera également nécessaire de mettre en œuvre un processus de revue régulière et, si la sensibilité des données le justifie, de monitorer les accès aux données (création, suppression, déplacement, copie, etc.)

V.             Enfin, le dernier point sur lequel il faudra s'attarder est celui de l'archivage et de la suppression des données obsolètes. Il est important de s'assurer que les données sont archivées et/ou supprimées de manière sécurisée lorsqu'elles ne sont plus nécessaires ou lorsqu'elles ne sont plus autorisées à être utilisées. L'enjeu est alors double : respecter les prescriptions légales (RGPD, normes fiscales et comptables, etc.) et restreindre le volume de données à protéger, et donc réduire la difficulté à garantir cette protection en ne conservant que ce qui est pertinent.

Il est important de noter que les vols de données sont souvent liés aux cyber-risques, c'est pourquoi il est important de mettre en place des mesures de sécurité adéquates pour protéger les données contre les violations et les fuites, et également de se tenir informé des dernières tendances et des dernières méthodes utilisées par les cybercriminels. Les coûts associés à une violation de données peuvent être considérables pour les entreprises et les organisations. Ces coûts sont directement proportionnels au délai nécessaire pour détecter et neutraliser les menaces. À ce titre, le déploiement d'une stratégie Zero Trust, l'implémentation d'un XDR (eXtended Detection and Response) ou d'un SOAR (Security Orchestration, Automation and Response) peuvent être des éléments déterminants dans la réduction de ce délai de détection et de remédiation.