Les pièges courants en matière de sécurité des données (et comment tenter de les éviter)

Les données sont les joyaux d’une entreprise : leur grande valeur doit être protégée à tout prix. Elles alimentent l’économie moderne et la manière dont nous travaillons aujourd’hui nécessite de les partager.

Tandis que la mobilité des données franchit de nouveaux horizons, bon nombre de mesures de contrôle destinées à atténuer les risques qui les menacent continuent de reposer sur une protection traditionnelle : un tissu de complexité qui est l’ennemi de la sécurité. Mais quels sont les écueils courants auxquels se heurtent les entreprises lorsqu’elles s’efforcent de protéger leurs données ? Il est en effet toujours incroyablement facile de perdre celles-ci sous l’effet d’une attaque directe, d’une simple erreur ou d’une négligence.

Parmi les problèmes les plus fréquents, on trouve :

  • Une perte ou une destruction des postes de travail,
  • Une utilisation d’outils grand public pour le travail collaboratif et le partage de fichiers,
  • Des transferts de fichiers sur des supports non sécurisés, notamment des périphériques USB,
  • Des envois d’informations sensibles par e-mail sur des comptes personnels,
  • « L’ingénierie sociale » (ou le phishing), associant le facteur humain et un malware.

Prenons une entreprise type. Comme vous pouvez l’imaginer, les nouvelles technologies y prolifèrent : applications, réseaux et, dernièrement, cloud. Nous utilisons des services s’appuyant sur de multiples infrastructures cloud et une quantité d’applications SaaS (software as a service), en conjonction avec des applications classiques (mais non moins critiques) implantées sur site au cours des 25 à 30 dernières années. Il en résulte une prolifération de données personnelles et professionnelles disséminées sur une multitude d’équipements et de sites. Le périmètre traditionnel de l’entreprise, ses « murs » où l’informatique contrôle tout, s’est quasiment entièrement dissout. La réponse des entreprises a consisté à colmater chaque faille et à traiter chaque scénario avec une multitude de solutions de sécurité, chacune assortie de ses propres règles, capacités et limitations. La conjugaison de cette complexité, d’une surface d’attaque accrue et d’une perte de contrôle de l’informatique aboutit à accentuer les menaces pour la sécurité.

Avec l’arrivée de nouvelles réglementations telles que le GDPR (Règlement général européen sur la protection des données), la protection des données, en particulier les informations personnelles des clients, impose une nouvelle série d’obligations.

Une étude internationale réalisée par Ponemon Institute révèle que :

  • 64% des participants indiquent que leur entreprise n’a aucun moyen de réduire efficacement le risque inhérent aux données non maîtrisées (par exemple celles téléchargées sur des périphériques USB, partagées avec des tiers, ou encore des fichiers sans date d’expiration).
  • 79% des participants sont préoccupés par les failles de sécurité concernant des informations de grande valeur.
  • 52% des participants estiment que leur infrastructure de sécurité ne facilite pas la mise en conformité avec la réglementation par une centralisation du contrôle, de la supervision et du reporting des données.

Le scénario catastrophe pourrait aller au-delà d’un simple vol de données pour des motifs financiers. L’étape suivante pourrait très bien être l’exploitation de fuites de données comme arme d’extorsion et de chantage.

Bruce Schneier, cryptologue et spécialiste en sécurité informatique parle d’« Organizational Doxing » (du doxing à l’encontre d’entreprises) : « Les entreprises sont de plus en plus victimes de piratages, non pas par des criminels cherchant à leur dérober des numéros de cartes de crédit ou des identifiants de comptes en vue de commettre des fraudes, mais par des utilisateurs déterminés à voler autant d’informations que possible et à les publier. »

Cependant, plus élaborées sont des attaques potentielles contre l’intégrité des données, telles que celles identifiées dans le rapport de la Commission des forces armées du Sénat des Etats-Unis sur l’évaluation des menaces mondiales par la communauté américaine du renseignement : « La plupart des débats publics concernant les cyber-menaces se focalisent sur la confidentialité et la disponibilité de informations. Le cyber espionnage sape la confidentialité, tandis que les attaques de déni de service et d’effacement de données nuisent à leur disponibilité. A l’avenir, toutefois, nous pourrions également observer davantage de cyber-opérations destinées à modifier ou manipuler des informations électroniques afin d’en compromettre l’intégrité (c’est-à-dire l’exactitude et la fiabilité) au lieu de les supprimer ou d’en perturber l’accès. Les prises de décisions par les hauts responsables (civils ou militaires), les dirigeants d’entreprise, les investisseurs ou autres seront pénalisées si ceux-ci ne peuvent pas avoir confiance dans les informations qu’ils reçoivent. »

Cela impose la mise en place d’une architecture sur-mesure, conçue et renforcée dès le départ dans l'optique de la sécurité. Essentiellement, la solution doit rendre la main à l’informatique et assurer l’équilibre optimal entre sécurité et expérience utilisateur. En définitive, les utilisateurs ont besoin et envie de travailler efficacement. Si le partage de données est rendu compliqué, cela ouvre la voie à des raccourcis dangereux et au Shadow IT, au risque d’engager la responsabilité de l’entreprise.