Confronter les idées reçues (tenaces) aux faits (bien réels) : ancrer la protection des données dans la réalité

Déconstruire les idées reçues pour mettre en lumière les enjeux d'une exaction de données pour l'entreprise

Avant d’implémenter une nouvelle solution technologique, quelle organisation n’a pas déjà été confrontée à des freins aux changements en provenance des différents collaborateurs impliqués ? Reposant bien souvent sur des idées reçues plus que sur des faits tangibles, ces réticences vont souvent de pair avec le rejet des risques opérationnels et des enjeux structurels potentiels qui pourrait découler de ce nouveau choix technologique. Mais lorsqu’il s’agit de protection des données, les résistances internes peuvent être lourdes de conséquences. 83 % des organisations mondiales ont été victimes plus d’une fois d’un vol de données. Si la conduite du changement doit très certainement être accompagnée, il est urgent de déconstruire les idées reçues pour mettre en lumière les enjeux d’une exaction de données pour l’entreprise et pour l’utilisateur.

Idée reçue #1 : Le département IT est l’unique garant de la protection des données

Bien que la DSI joue un rôle moteur dans le développement d’une politique efficace de sécurité des données dans l’entreprise, chaque collaborateur au sein de l’organisation doit avoir conscience de sa propre responsabilité. Ce n’est pas pour rien que l’on dit que le danger se situe entre la chaise et le PC ! Le collaborateur doit prendre pleinement la mesure des données sensibles qu’il manipule, des cyber dangers auxquels ces données sont exposées et de l’impact désastreux d’une fuite. La responsabilité de traiter et de protéger les données de manière appropriée est donc l’affaire de tous. Elle doit contribuer à minimiser toute potentialité de violation et renforcer la posture de sécurité de l’entreprise.

Idée reçue # 2 : Les PME & TPE, moins attractives, ne sont pas exposées au risque de pertes de données

Seuls 25% des chefs d'entreprise de TPE et PME françaises estiment que leur entreprise présente un risque élevé d'être touchée par une cyberattaque. Malheureusement, la réalité est toute autre ! Toutes les données sensibles, surtout lorsqu’elles sont aisément accessibles, intéressent les cybercriminels. Et ces derniers ont parfaitement conscience des lacunes en matière de protection et de chiffrement des données au sein des TPE et PME, bien souvent dotées d’équipes de sécurité réduites, voire inexistantes. De facto, ces entreprises représentent des cibles beaucoup plus attractives. A titre d’exemple, les attaques par rançongiciel à l’encontre des TPE/PME ont augmenté de 53% entre 2021 et 2022 selon l’ANSSI.

Les menaces internes, constituent également un véritable danger. Si elles sont plus rarement malveillantes ou intentionnelles, elles sont particulièrement courantes au sein des entreprises de toutes tailles. Dans son rapport mondial 2022 « Cost of Insider threats », Ponemon Institute estime que 56% des incidents sont dus à une négligence interne contre un  petit 26% émanent d’une véritable volonté de nuire. Le cabinet évalue par ailleurs à 8,13M$ le montant moyen des dépenses engagées par les entreprises de moins de 500 salariés pour faire face aux conséquences d’un incident interne.

Idée reçue # 3 : Les piratages et violations des données sont facilement détectables avec les outils adaptés

Nombre d’organisations sont convaincues que les signaux émis par les solutions de sécurité en place les alerteront en cas de violation de leurs données. Dans les faits, les violations de données, au même titre que les cyberattaques, passent souvent sous les radars pendant de long mois, et plus encore si elles émanent de l’interne. Pas moins de 277 jours (soit 9 mois) sont nécessaires en moyenne pour identifier et contenir une violation de données selon une récente étude d’IBM. Cette enquête souligne par ailleurs que 1,12 M$ peuvent être économisés lorsque les violations de données sont jugulées en moins de 200 jours.

Idée reçue # 4 : Protéger ses données coûte cher

Le coût moyen d'une violation de données a atteint le record absolu de 4,35 millions de dollars en 2022 (+12,7 % en seulement 2 ans). Certes, la protection des données est un investissement pour toute organisation. Mais, les montant engagés font figure de goutte d’eau en comparaison des dommages potentiels (amendes pour non-conformité, litiges, atteintes à la réputation…) en cas d’exaction.

Déployer des mesures préventives adéquates - telles que la classification des données, des solutions de DLP (Data Loss Prevention) et de DRM (Data Rights Management) - offre l’assurance de mieux protéger ses données et de réduire considérablement les risques d’exposition. Et si par malchance, les données sensibles se trouvaient néanmoins exposées, la mise en œuvre de telles précautions en réduirait considérablement l’impact ainsi que le montant des amendes corrélées.

Idée reçue # 5 : J’ai une stratégie efficace de protection des données

La protection des données est un processus continu. Si la technologie et les processus évoluent au gré des besoins de l’organisation, la stratégie doit s'adapter en conséquence. Pour y parvenir, une base solide en matière de protection des données doit être constituée avec des solutions telles que :

  • La classification des données, pour identifier, classer et étiqueter les données sensibles.
  • La prévention contre la perte de données (DLP) pour visualiser les mouvements des données et bloquer les menaces tout en empêchant la diffusion non autorisée via le réseau de l'entreprise. Elle peut être activée via du network DLP pour le réseau de l’organisation, du endpoint DLP pour les terminaux individuels ou la combinaison des deux.
  • La gestion des droits sur les données (DRM), permet de chiffrer les fichiers afin de garantir la protection des données sensibles quelle que soit leur localisation.

Avec 83 % des entreprises ayant subi à minima une violation, les enjeux autour de la protection des données sont devenus bien trop conséquents. Mais une solution DLP n’est qu’une étape d’une stratégie efficace de prévention de perte de données. Plus qu’un produit c’est un véritable programme qui exige une attention permanente afin d’offrir des performances sur le long terme en réévaluant fréquemment les besoins de l’organisation et la façon dont les utilisateurs, systèmes et événements interagissent avec les données. Voyage au long court, la protection des données n’en reste pas moins un allié décisif de la résilience des organisations.