Les pertes de données en entreprise

Publié le par Bernard Sady

KPMG vient de publier une enquête selon laquelle « les vols et pertes de données en entreprise sont en nette recrudescence. » (Cette enquête est en anglais).


Régis Marti a commenté cette enquête dans Les Echos du 10 décembre dernier.


 

Il décrit la situation : « Depuis sa mise en place en 2005, le Data Loss Barometer du cabinet d'audit a recensé quelque 2.300 incidents liés au vol ou à la perte de donnés affectant un total de quelque… 700 millions de personnes dans le monde. Mais comme la plupart des incidents ne sont pas rendus publics, ces chiffres pourraient ne constituer que “la partie émergée de l'iceberg”, selon la même source.

« Entre janvier et juin 2009, 110 millions de personnes ont été directement ou indirectement affectées par ces “cyber-malversations”. Une large proportion étant représentée par les victimes du piratage du Heartland Payment Systems, qui, au début de l'année, a touché en janvier plus de 100 millions de détenteurs de cartes de crédit ou de débit. Une fraude massive qui demeurera dans les annales comme la plus importante de l'histoire des Etats-Unis. Et qui désigne également les institutions financières comme l'une des premières cibles des fraudeurs informatiques, après l'administration, qui représente le quart des incidents recensés au cours du premier semestre, contre “seulement” 15 % pour les banques et services financiers. »

Impressionnant et inquiétant…

 

Face à ce constat, les entreprises réagissent. Mais si « l'une des principales préoccupations des entreprises en matière de sécurité consiste à protéger les informations sensibles dont pourrait faire un mauvais usage un concurrent mal intentionné », il ne faut pas se tromper de cible : « plus que les attaques menées de l'extérieur par piratage des réseaux et des systèmes informatiques, les vols de données en provenance de l'intérieur même de l'entreprise sont en très forte augmentation. Ils ont en effet augmenté de 50 % sur les six premiers mois de l'année, toujours selon l'étude de KPMG. »

S’il faut, bien sûr, se protéger contre des attaques venant de l’extérieur, il faut également prendre en compte les risques internes : « Dans 10 % des cas, les vols de données ont été perpétrés par des employés des entreprises concernées. » Ce n’est donc pas négligeable…

Et voici les circonstances : « dans une majorité de situations, ces actes étaient commis à l'occasion de leur départ vers un concurrent (70 % des cas) ou de la création de leur propre affaire (23 % des cas). »


Les méthodes utilisées : « la messagerie électronique (46 % des cas), suivie par les copies papier (22 %) et, dans seulement 9 % des cas, par les supports de copie tels que CD, DVD, clef USB ou disque externe. » Mais « l'évolution technologique devrait cependant permettre de démocratiser l'usage des outils permettant de recueillir et stocker des informations sensibles tels que les “smartphones”, les appareils photo numériques, voire les baladeurs MP3. »

Et nous en arrivons au fameux maillon faible : « “Les individus sont le plus souvent le maillon faible de la sécurité dans l'entreprise”, relève Laurent Gauby, associé de KMPG et responsable du secteur systèmes d'information. »


Les solutions ? Simples à mettre en œuvre selon KPMG : « Elles consistent principalement dans le renforcement des politiques de sécurité avec la classification des informations et la définition de niveaux de protection adéquats. »

C’est effectivement le point de départ : quelles sont les données réellement sensibles ? Celles qu’on ne voudrait pas voir entre les mains d’un concurrent ou encore celles qu’on ne voudrait pas voir affichées sur la place publique… Car il est impossible de protéger toutes les données. Il est donc nécessaire de les classer par ordre de confidentialité.

Ensuite, il est effectivement nécessaire de définir le niveau de protection en conséquence : accès limité à l’information, protection par mot de passe ou par des moyens biométriques (iris de l’œil, empreinte de la main, etc…)


Et il ne faut pas oublier « la sensibilisation des utilisateurs ». Effectivement, par expérience, les utilisateurs ne sont pas conscients des risques encourus. Ils donneront sans aucun problème leurs mots de passe à la moindre personne se faisant passer au téléphone pour une personne du service informatique sous prétexte de vouoir vérifier leurs profils…


Il faut également veiller à « la limitation du stockage de données sensibles sur des supports amovibles. » Car ils peuvent facilement être perdus ou volés ou conservés…


Un point que n’a pas évoqué Régis Marti mais qui se trouve dans le rapport KPMG, c’est le risque lié aux réseaux sociaux. Ce point est vraiment important, surtout pour les jeunes qui ne se rendent pas compte des conséquences que peut avoir l’étalage de leur vie privée… Les criminels du web peuvent facilement faire le profil d’un internaute grâce à Facebook (pour les données concernant la formation et les relations) et à LinkedIn (pour les données concernant la carrière). Les fraudeurs savent très bien que la plupart des mots de passe viennent de la proche famille ou des proches relations : date de naissance, nom des enfants, nom de l’animal de compagnie… Et quand on a oublié son mot de passe, on doit répondre à une question… souvent proche de la vie personnelle… Ou encore lorsqu’on appelle sa banque ou sa compagnie d’assurance, notre interlocuteur nous pose des questions… également personnelles pour vérifier que nous sommes bien la bonne personne… N'importe quel personne mal intentionnée, ayant fait votre profil personnel et ayant récupéré toutes les données que vous avez consciencieusement laissé sur le web tel le Petit Poucet, pourra aisément se faire passer pour vous avec toutes les conséquences qu'on peut imaginer...


Donc, vigilance avec les informations personnelles que nous semons à la volée sur le web… sans possibilité de les effacer


Je sais bien que c’est la xème fois que j’aborde cette question, mais c’est vraiment très important autant pour la vie privée des internautes que pour la sécurité des entreprises dans lesquelles ils travaillent ou travailleront.

Pour être informé des derniers articles, inscrivez vous :

Commenter cet article