Le danger des fuites de données : sachez quels sont vos points faibles !
Depuis les détails des cartes de crédit des clients, qui facilitent le passage aux caisses, jusqu’aux données des employés, indispensables aux départements de ressources humaines, les entreprises d’aujourd’hui sont basées sur des données sensibles. C’est en fait l’élément vital qui permet aux entreprises modernes de fonctionner. A en croire l’expérience, le problème important qui nous pend au nez c’est la catastrophe sécuritaire.
Les fuites et les violations de données sont d’une banalité alarmante mais il y a toujours trop d’idées fausses en ce qui concerne le pourquoi et le comment de leur apparition. Des images de criminels qui, dans leurs chambres sombres, craquent des bases de données ultra secrètes peuvent être monnaie courante dans les médias mais la vraie raison pour laquelle des données critiques sont rendues publiques est généralement très éloignée de ce que l’on trouve dans un film hollywoodien sur le piratage.
La réalité est que la source des fuites de données provient souvent de membres de l’organisation et sont généralement le résultat d’un malheureux accident ou d’un vice interne. Cela peut être aussi simple qu’une erreur humaine ou un contournement des règles du réseau informatique de l’entreprise.
Fuite ou violation de données – quelle est la différence ?
Compte tenu des énormes disparités entre les sortes d’incidents causant la diffusion publique des données, nous pouvons les séparer en deux groupes bien distincts : les fuites et les violations de données.
Dans le cas de violation des données, les pirates doivent avoir accès à un serveur par le biais d’une vulnérabilité ou en attaquant d’une manière qui peut être contrée si la solution de sécurité adéquate a été mise en place.
Dans le cas d’une fuite de données, il est fort possible qu’il n’y ait pas de faille dans le système de sécurité. En lieu et place, les données peuvent s’être retrouvées entre de mauvaises mains à cause d’une action interne irresponsable ou à cause de l’action malveillante d’un employé mécontent.
La distinction entre ‘fuite’ et ‘violation’ de données n’est pas universelle. De nombreux experts classeraient ces pertes de données comme étant des violations – car elles peuvent être aussi dommageables les unes que les autres pour votre entreprise. Mais en les séparant, nous pouvons décomposer les problèmes et mieux comprendre pourquoi ceux-ci ont eu lieu.
Quand il s’agit de fuites de données, quels sont les principaux points faibles à identifier ?
L’erreur humaine
Malgré ce que vous avez investi dans une solution de sécurité, l’erreur humaine est la seule chose pour laquelle il est impossible de tout prévoir. Selon l’enquête de PWC 2015 Information Security Breaches Survey, l’an dernier, 50 % des violations les plus graves ont été causées par des erreurs humaines involontaires.
Il y a quelques mois, la ‘Federal Deposit Insurance Corp.’ a dû gérer les retombées suite au départ d’un employé qui avait emporté une clé USB avec les données de 44.000 clients (USB drive containing the personal information of 44,000 customers). Plus tard , on a découvert que les données avaient été téléchargées par ‘inadvertance, sans intention de nuire’.
En commentant les résultats d’une autre enquête faite en 2014, David Harley, chercheur principal chez ESET, a confirmé que les menaces internes ne doivent pas toujours être considérées comme mal intentionnées.
David Harley a déclaré : “Une très large proportion de violations de sécurité est causée directement ou indirectement par les membres internes à une organisation, qu’il s’agisse d’une erreur humaine, d’un problème d’ingénierie sociale, de mauvaises décisions au niveau de la gestion sécuritaire, etc. Je ne suis pas convaincu que des actions délibérément mal intentionnées de personnes internes soient plus importantes que tous ces autres facteurs. »
Comme dit le proverbe, “l’erreur est humaine ” mais cela ne veut pas dire qu’on ne peut rien faire pour éviter ce genre de violation des données. Selon l’enquête 2015 de PWC, 33% de grandes organisations déclarent que les responsabilités en matière de protection de données ne sont pas claires alors que 72% des organisations où la politique de sécurité était mal comprise avaient été victimes de violations imputables au personnel.
Faire en sorte que tous les employés soient conscients de la sécurité informatique et que la responsabilité de maintenir la sécurité des réseaux ne concerne pas uniquement quelques spécialistes permettrait de réduire à un stricte minimum les erreurs coûteuses.
Le vol
Bien que nous voudrions vous dire que les données ne sont volées que par des criminels extérieurs, des vols de l’intérieur de votre entreprise peuvent aussi avoir lieu. L’agence de communications du Royaume-Uni OFCOM a appris cette année que pendant six ans, un ancien employé avait subrepticement accumulé des données de tiers. L’agence n’a appris cette fuite de données que lorsque l’ancien employé a voulu transmettre ces données à son nouvel employeur qui a informé OFCOM de cette pratique malhonnête.
Aucune entreprise n’aime suspecter ses employés, mais on peut prévenir ce genre de fuite de données en évitant les risques inutiles. Lorsque des documents sensibles sont concernés, faites en sorte que leur accès soit réservé uniquement à ceux qui en ont réellement l’utilité. Stocker toutes les données de l’entreprise sur un serveur collectif géant n’est jamais une bonne idée.
Utilisation abusive d’accès
Même lorsque les intentions des employés ne sont pas malhonnêtes, des actions apparemment bénignes peuvent affaiblir le réseau IT et occasionner des fuites de données.
Selon un rapport publié en 2014 par Cisco environ un quart des employés interrogés ont admis avoir partagé des informations sensibles avec des amis, la famille ou même des étrangers. Près de la moitié des employés interrogés partageaient, sans supervision, des appareils avec des personnes de l’extérieur de l’entreprise.
Ces comportements peuvent sembler innocents, mais c’est ainsi que les données sensibles se retrouvent hors du contrôle de l’organisation. Des paramètres de sécurité et des procédures peuvent être mis en place afin de limiter ce genre d’activités mais même ces mesures peuvent être contournées.
Maintenant que nous avons identifié les trois principaux points faibles liés aux fuites de données, vous vous demandez probablement quelles mesures prendre pour les renforcer ? Consultez le récent article Digital patch kit: How to protect yourself from data leaks pour tous les conseils pratiques dont votre entreprise a besoin.