L’humain au cœur de la fuite de données, ou data leaks

Le nombre grandissant de fuites de données auxquelles sont confrontées les entreprises focalise l’attention sur la cybersécurité et les différents verrous technologiques. C’est cependant oublier un peu vite que la sensibilisation du personnel à cette problématique reste un des premiers remparts.
Quel est le point commun entre Uber, Yahoo ou encore Sony et son service de jeux Playstation ? Tous se sont récemment fait pirater des données confidentielles relatives à leurs clients (noms, prénoms, adresses emails voire coordonnées bancaires) et ce, à grande échelle.

Ces exemples de cybercriminalité ont fait la une des journaux de par leur ampleur et ont mis en lumière la nécessité de protéger ces données contre les hackers ou les groupes malveillants cherchant à monnayer les données issues de ces vols.

De telles actions peuvent être menées depuis l’extérieur mais aussi par des salariés au sein même de l’entreprise (les insiders) qui par vengeance ou par inadvertance, font sortir de l’entreprise des données auxquelles ils ont accès. Il n’y a pas forcément besoin de mettre en œuvre des moyens importants et complexes : le transfert de fichiers via l’application Dropbox ou une clé USB peut entraîner la mise à disposition de masses importantes d’informations à des personnes mal intentionnées, tout en échappant au contrôle des équipes de gestion des systèmes d’information.

Cloisonnement de l’information
Les fuites de données – ou « data leaks » – ne sont pas réservées uniquement au monde du numérique. Dans de nombreuses sociétés, il n’est pas rare que des données sensibles version papier soient exposées aux yeux de tous : contrat oublié sur une imprimante, devis mis à la poubelle sans précaution ou encore document confidentiel insuffisamment sécurisé.

Pour limiter les risques, tant sur les documents physiques que numériques, un facteur est trop souvent oublié : celui de l’humain et de la sensibilisation des équipes à cette thématique. Une solution est déjà de mettre en place un système de classification de la sensibilité de l’information, par exemple en définissant des niveaux de sécurisation. Les documents peuvent être de différents niveaux de sensibilité : public, diffusion limitée, confidentiel industrie, confidentiel…

Chaque entreprise, en fonction de ses usages et de son domaine d’activité, doit définir sa politique en la matière et décider qui doit pouvoir accéder à quelle information. Et surtout, elle doit prévenir son personnel des menaces potentielles sur le vol de données et sur la sensibilité des informations qu’il manipule. Ainsi, le montant d’un devis ou les réglages de certains équipements, éléments apparemment anodins, peuvent être considérés comme des informations stratégiques pour la concurrence ou pour un attaquant qui souhaiterait les vendre.

Une fois les mécanismes de classification et de protection des données définis, reste encore à les mettre en place et les faire adopter.

En termes de matériel, il convient aussi d’être vigilant et de ne pas laisser son ordinateur portable ou son smartphone professionnel sans surveillance dans des espaces publics. S’ils sont déverrouillés, ils représentent autant de points d’entrées (accès aux boîtes emails ou aux dossiers) pour des personnes mal intentionnées.

Dans ce contexte, l’arrivée prochaine du RGPD – règlement européen sur la protection des données personnelles – en mai 2018 doit permettre de responsabiliser les acteurs traitant des données personnelles. Mais une nouvelle fois, cette réglementation, qui va dans le bon sens pour les citoyens et formalisera un certain nombre d’obligations, ne résoudra pas tout. Car toutes les technologies du monde ne suffiront pas si le facteur humain n’est pas pris en compte.