Sécurité des données : une préoccupation majeure en 2015

Pourquoi et comment les données sont-elles dérobées ? Et surtout quels types de réponse les entreprises peuvent-elles apporter ? Le point.

Pour les professionnels de la sécurité des données et, plus largement, tous les cadres dirigeants ayant des comptes à rendre à des actionnaires, 2014 s’est terminée dans une ambiance quelque peu tourmentée, pour ne pas dire chaotique. En décembre, les attaques de Sony Pictures par la Corée du Nord ont capté l’attention de tout le monde, pas tant sur le film « L’interview » au cœur de la polémique que sur l’extrême vulnérabilité de notre société à ce type d’actes criminels. La vague d’attaques informatiques à laquelle les institutions, les entreprises et les médias français font actuellement face et les précédentes opérations de vols de données le montrent, il est plus que jamais urgent pour les entreprises françaises de sécuriser le patrimoine que constituent leurs données.

En 2014, l’Identity Theft Resource Center a recensé 761 failles de sécurité de données qui ont impacté plus de 83 millions d’enregistrements dans toutes les régions et tous les secteurs d’activité, la distribution B2B et B2C totalisant à elle seule 79,2% des violations enregistrées. La majorité de ces brèches ont été causées par des vers ou des virus informatiques introduits via Internet et délibérément conçus pour identifier et récupérer des informations sensibles – notamment des numéros de cartes de crédit, de comptes bancaires et des informations de sécurité sociale – utilisées par les criminels pour semer le chaos et causer aux établissements commerciaux et financiers d’importantes pertes financières. D’après une étude réalisée en 2014 par le Ponemon Institute :

- Aux États-Unis en 2014, le coût moyen de la cybercriminalité a été de 12,7 millions de dollars par entreprise, les entreprises américaines ayant en moyenne fait l’objet de 122 attaques réussies dans l’année.

- Globalement pour les organisations étudiées, le coût moyen annualisé était de 7,6 millions de dollars, la fourchette allant de 0,5 million à 61 millions. Il est intéressant de noter que les petites organisations ont eu à supporter un coût par tête plus élevé que les grandes (1 601 dollars contre 437 dollars).

- Les coûts induits sont également plus élevés dans certains secteurs que dans d’autres. C’est le secteur de l’énergie et des utilities qui subit les attaques les plus coûteuses (13,18 millions de dollars), suivi de près par le secteur des services financiers (12,7 millions). Le secteur de la santé est celui qui encourt les dépenses les moins élevées (1,38 million).


Malgré toute l’attention des médias sur les événements déplorables de l’année dernière, 2015 ne s’annonce pas vraiment sous de meilleurs auspices. Le 5 janvier, CNBC annonçait que Morgan Stanley avait fait l’objet d’une violation de données de la part d’un employé licencié - qui a volé les données de comptes de centaines de milliers de clients de son département gestion de fortune. Pour environ 900 de ces clients, les informations volées ont été mises en ligne et donc exposées pendant une courte période. Avec toute la valeur que les cybercriminels peuvent espérer tirer de ce type de données, les entreprises de tous les secteurs doivent s’attendre à un rude combat, sachant que ces criminels se montrent de plus en plus créatifs pour mettre la main sur des informations sensibles et en tirer des gains financiers.  D’après une étude de Forrester, les 3 premières causes de violation de données sont :
  • la mauvaise utilisation involontaire des données par le personnel (36%)
  • la perte/le vol d’actifs de l’entreprise (32%)
  • le phishing (30%)


Compte tenu de la croissance des volumes de données alimentée par le mobile, les médias sociaux, le cloud et les paiements électroniques, la guerre contre les violations de données va s’amplifier et s’aggraver, pour les petites entreprises comme pour les grandes. En conséquence, le Gartner prévoit qu’en 2015, les investissements dans les solutions de sécurité de l’information vont augmenter de 8,2% par rapport à 2014 et atteindre 76,9 milliards de dollars dans le monde. De plus, d’ici 2018, plus de la moitié des organisations auront recours à des sociétés de services de sécurité spécialisées dans la protection des données, la gestion des risques de sécurité et la gestion des infrastructures de sécurité pour renforcer leur sécurité.

Comme dans toute guerre, il est primordial de savoir qui est l’ennemi et ce que l’on cherche à défendre. Dans la guerre contre la violation de données, avant de chercher comment se défendre efficacement contre les attaques, la première étape est de savoir où se trouvent les données sensibles. Parmi les firmes étudiées par le Ponemon Institute, seules 18% déclarent savoir où se trouvent leurs données structurées sensibles, les autres n’en étant pas sûres. 66% reconnaissent qu’elles ne seraient pas forcément en mesure de détecter une attaque dont elles feraient l’objet. Pire encore, 47% pensent ne pas avoir de visibilité fiable sur les utilisateurs qui accèdent aux informations à caractère sensibles ou confidentiel. 48% admettent avoir subi une forme ou une autre de violation de données au cours des 12 derniers mois.

Du directeur de la sécurité de l’information aux analystes de la sécurité, les responsabilités des professionnels de la sécurité vont croissantes et deviennent chaque jour plus complexes. Les criminels auxquels ils font face utilisent des méthodes et des techniques de plus en plus sophistiquées pour mettre la main sur un des actifs les plus précieux de la plupart des entreprises, à savoir leurs données. Si votre entreprise prévoit d’investir dans une nouvelle solution de sécurité de l’information, assurez-vous que celle que vous choisirez vous permette de savoir où se trouvent vos données sensibles. C’est le point de départ et la condition indispensable pour mettre en place une stratégie de sécurité qui défendra aussi efficacement votre périmètre que vos données sensibles à la source. Êtes-vous prêt à passer à l’action ?