Fuite de données d’entreprise : sécuriser la direction et le CA

La Commission nationale de l’informatique et des libertés (CNIL) alerte depuis quelques années sur la professionnalisation de la cybercriminalité. Celle-ci vise ainsi particulièrement les entreprises les plus rentables, et délaisse les particuliers. Si des outils existent pour protéger les données, ils ne suffisent pas toujours à empêcher les fuites des données les plus stratégiques : celles manipulées par la direction et le conseil d’administration.

Souvent en déplacement, les responsables de l’entreprise participent à des échanges informels, à des réunions en ligne, au partage de fichiers. Ces activités, quand elles ne font pas l’objet d’une politique cyber-sécuritaire spécifique, sont particulièrement exposées à la cybercriminalité professionnelle.

Les fuites de donnés qui fragilisent l’entreprise

Depuis quatre ans, le Règlement Général européen sur la Protection des Données (RGPD) encadre les activités illégales liées aux données personnelles. Cet organisme agit pour le moment davantage en légiférant et en sanctionnant qu’en surveillant les fuites de données en cours. Pour ce qui est de la surveillance, les entreprises restent donc autonomes.

Les risques d’une fuite de données stratégiques sont considérables en termes d’impact :

• Usurpation pouvant mener à une utilisation illégitime des données. C’est notamment ce qui arrive dans le cas des “arnaques au président”. Des pirates se servent de données personnelles de la direction générale pour effectuer des opérations bancaires, par exemple ;
• Inactivité provisoire, partielle ou totale. C’est le cas avec les ransomwares. Des hackers réclament une rançon en échange de la récupération de données sensibles ou de l’accès à votre système informatique ;
• Crise réputationnelle, impliquant une communication spécifique vis-à-vis des parties prenantes, et débouchant parfois sur une perte de clientèle ;
• Plannings prévisionnels durement impactés ;
• Sanctions financières en cas de manquements avérés au RGPD ;
• Dans les cas les plus graves, faillite de l’entreprise.

Vous trouverez ici quelques affaires de fuite de données célèbres. Communication de crise, pertes de clientèle, amendes et même fermeture de service ont été vécues par les plus grands, dont Google.

Comment s’explique une fuite de données stratégiques ?

Les causes des fuites de données d’entreprise varient, mais quelques constantes ressortent néanmoins :

• Attaque cybercriminelle visant à revendre vos données sensibles sur le Dark Web. C’est par exemple de plus en plus le cas avec les opérations dites de “Big Game Hunting”. Il s’agit d’attaques par ransomware qui ont pour objectif d’exfiltrer des données stratégiques de grands groupes. Les pirates menacent ensuite de les revendre pour procéder à un chantage autour d’énormes sommes.
• Manque de sécurisation des procédés de stockage utilisés dans le cadre des technologies basées sur le cloud, l’IoT (“Internet of Things”), le BYOD (“Bring Your Own Device”) et le télétravail.
• Vulnérabilités humaines des équipes, et manque de formation quant aux bonnes pratiques en termes d’emailing et de messageries instantanées.
• Ex-employés mal intentionnés, prêts à voler des données confidentielles pour les revendre à la concurrence ou les publier sur Internet.

Comment prévenir les fuites de données sensibles ?

La politique de sécurisation des données personnelles et stratégiques de l’entreprise repose sur un plan d’actions transversal et conséquent. Voici quelques-unes des mesures indispensables pour injecter de la cybersécurité dans les activités quotidiennes de l’entreprise :

1 / Tenir une veille régulière de l’évolution des cyberattaques et des menaces émergentes. En ce moment, c’est par exemple l’informatique quantique qui inquiète le plus les spécialistes de la cybersécurité ;

2 / Identifier les données sensibles à protéger pour leur réserver un traitement spécifique ;

3 / Auditer régulièrement les activités des utilisateurs pour détecter les comportements inhabituels. Une mesure pour laquelle les audits en continu s’avèrent souvent nécessaires ;

4 / Former les équipes aux vulnérabilités humaines et aux moyens de les éviter ;

5 / Édicter une charte de la cybersécurité interne, qui prévoit par exemple l’interdiction d’outils de stockage mobile, type clés USB ;

6 / S’assurer de la sécurisation des process de vos fournisseurs et partenaires amenés à manipuler vos données d’entreprise ;

7 / Pour le stockage de données en ligne, privilégier des serveurs sécurisés, qui utilisent le protocole SSL (Secure Sockets Layer) pour le chiffrement des données ;

8 / Limiter le partage des données stratégiques aux collaborateurs et collaboratrices indispensables ;

9 / Confiez votre cybersécurité à un prestataire de confiance, certifié selon des normes de sécurité informatique reconnues, comme ISO 27000, par exemple.

Protégez les données confidentielles de la direction générale et du CA

Les pistes déclinées ci-dessus sont valables pour protéger les activités quotidiennes de vos collaborateurs. En ce qui concerne les données manipulées par la direction générale ou le conseil d’administration, les enjeux sont bien plus conséquents. Les mesures de sécurisation des données à mettre en place doivent donc aller plus loin.

Les difficultés rencontrées par les administrateurs et dirigeants sont souvent les mêmes. Leurs membres sont très occupés, souvent en déplacement. Ils travaillent depuis différentes antennes, parfois sur plusieurs fuseaux horaires. L’échange d’informations et de fichiers à ce niveau de responsabilité et avec cette échelle de difficulté expose particulièrement vos données d’entreprise les plus stratégiques.

Ce contexte implique d’opter pour un logiciel spécialisé dans la gestion des risques informatiques. Cet outil doit faciliter la communication et favoriser l’agilité des échanges. Il doit aussi, paradoxalement, reposer sur des normes particulièrement strictes de sécurité informatique. Une solution de sécurisation de cette envergure doit vous proposer les fonctionnalités suivantes :

• automatisation de l’évaluation des activités quotidiennes pour optimiser la détection des risques cyber ;
• assistance à la classification des actifs ;
• détection automatique des problèmes avec notifications et alertes ;
• pistes de résolution des problèmes détectés ;
• tableaux de bord et rapports personnalisables sur l’état de votre cybersécurité ;
• traçabilité des données ;
• tableaux de bord dédiés aux Chief Information Security Officers (CISO) ;
• registre des risques cyber ;
• conformité juridique multi-entités ;
• clé de chiffrement pour crypter vos données sans que le fournisseur ne puisse y accéder ;
• messagerie instantanée cryptée, capable de restreindre l’accès aux données à distance en cas de perte ou de vol ;
• audits réguliers, aussi bien internes qu’externes.