Combien de millions de données piratées avant de prendre des mesures sérieuses

Que deviendraient certaines entreprises sans la propriété intellectuelle de leurs produits ? Où mèneraient des discussions confidentielles lors de fusions-acquisitions, si les données devenaient publiques ? Les données qui circulent "virtuellement" et sans grande sécurité sont-elles devenues le talon d’Achille des entreprises ?

L’annonce, la semaine dernière, du piratage des serveurs d’Experian qui s’est traduit par le vol des données de 15 millions de clients, a été un dur rappel à la réalité, mais laissant comme une impression de déjà vu après le piratage du site Ashley Madison il y a quelques mois. De plus en plus de données circulent aujourd’hui, et leur perte - dans le cas de l’attaque de la semaine dernière, les noms, adresses, date de naissance, numéro de sécurité sociale, permis de conduire et passeport des clients – peut avoir un effet dévastateur pour les clients, et donc pour la réputation de l’entreprise. Les cybercriminels voient en ces données une nouvelle ‘manne’ et les entreprises sont plus que jamais vulnérables.

Ces piratages ont poussé les entreprises en pleine transformation numérique à se pencher sur cette problématique. Le risque technologique n’a jamais été autant au cœur des préoccupations, comme l’a souligné Guillaume Poupard de l’Agence nationale de la sécurité des systèmes d’information (Anssi) lors des Assises de la Sécurité la semaine dernière, rappelant aux quelques 1 000 DSI réunis à Monaco qu’une menace "effrayante" plane, en faisant allusion aux nombreuses attaques dont son agence a été témoin ces douze derniers mois. Il a rappelé aux participants que les attaques sont de plus en plus fortes et rapides, mais qu’elles sont aussi la concrétisation de ce à quoi on s’attendait et de ce à quoi on doit se préparer.

Plus que jamais, il nous faut être vigilant. Les dernières attaques recensées nous ont permis de constater que les menaces pouvaient "s’introduire" de différentes manières. Ainsi, dernièrement, les analystes de Cybereason ont détecté chez un de leurs clients un malware qui s’était infiltré dans le serveur Outlook Web Application, la base de tout usage d’Outlook, permettant aux pirates de récupérer tous les mots de passe des utilisateurs accédant le serveur.

La cybercriminalité est un problème qui concerne de plus en plus toutes les directions de l’entreprise, et pas uniquement la direction informatique, l’impact pouvant se faire sentir à tous les niveaux de l’entreprises. Car, comme l’a rappelé Guillaume Poupard pendant les Assises, la facilité de certaines attaques tranche avec la difficulté de se défendre. Le succès de toute politique de sécurité repose sur un engagement et une action commune par toutes les directions pour mieux lutter contre ces nouvelles menaces. La mise en place d’une culture sécuritaire, et son adoption par l’ensemble des employés, est nécessaire pour prévenir toute future agression et nous devons mettre les outils en place pour soutenir les directions dans cet effort.

Un commentaire que nous entendons souvent est que les piratages tels que celui de la semaine dernière ne concernent que les grands groupes. Qui s’intéresserait aux données de petites et moyennes entreprises ? C’est une erreur. Les piratages des grands groupes sont généralement les plus médiatisés, mais il ne faut pas pour autant sous-estimer la valeur des données des petites et moyennes entreprises, et leur intérêt aux yeux des cyber pirates qui peuvent les voir comme un point d’entrée vers les grands groupes. Les données sensibles telles que mails, documents financiers ou fichiers clients constituent un ensemble d'informations indispensables à la vie de l’entreprise et l’impact d’une attaque peut être considérable. 71 % des TPE et les PME qui font l'objet d'une cyber-attaque ne s'en remettent pas, selon l'éditeur de logiciels antivirus Symantec, qui a constaté que le pourcentage des attaques vers les entreprises de moins de 250 salariés progresse (de 18 à 34% en 4 ans). Le piratage peut entrainer la perte et la destruction des données, nuisant à la productivité de l’entreprise quelque soit sa taille.

Malgré tout, il ne faut pas tirer un bilan totalement noir de la situation. Des solutions élaborées en termes de sécurité doivent être mises en place pour prévenir, protéger et reconstruire un système endommagé. Le partage de données et la collaboration en ligne ne doivent plus être sources d’inquiétude pour les entreprises définissant une stratégie de dématérialisation des processus.

Dans le cas du piratage annoncé la semaine dernière, les serveurs de l’entreprise ont été le maillon faible. Les données étaient, d’après les informations disponibles, chiffrées, mais alors que les hackers se professionnalisent, combien de temps cela leur prendra-t-il pour les déchiffrer, en vue de potentiellement usurper l’identité des clients ? Il faut mettre en place d’autres niveaux de sécurisation axés sur plusieurs niveaux d’authentification forte et une gestion fine des permissions

Quand on sait que 40 % de la valeur des entreprises se mesure aux informations qu'elles détiennent, protéger ses données n’a jamais été aussi important.