Les données sensibles collectées, stockées et utilisées par les entreprises forment un tout qu’on appelle le « patrimoine informationnel ». Il est constitué d’informations relatives au savoir-faire, aux collaborateurs, à l’état financier, aux décisions stratégiques, aux clients, etc. Autant d’éléments qui pourraient mettre l’organisation en danger s’ils venaient à tomber entre de mauvaises mains.

Or, les risques cyber n’ont jamais pesé si lourd : en 2018, 7 entreprises sur 10 ont subi au moins une tentative de fraude, et un quart d’entre elles en comptabilisent plus de dix ! 56 % des PME qui subissent un préjudice oscillant entre 10 000 et 100 000 € voient leur activité mise en danger du fait de la fragilisation de leur trésorerie. À tel point que 77 % des organisations ont fait du risque de fraude une préoccupation majeure (1). La crise du COVID-19 a forcé les entreprises à installer de manière très rapide le télétravail pour l’ensemble de leur effectif. Ce brusque changement de fonctionnement fut imposé afin de respecter les directives du gouvernement liées au confinement. Afin de contrecarrer les effets de la pandémie, le travail à domicile devint le quotidien d’une majeure partie de la population active exceptée celle exercant dans les services essentiels (OIV et OSE, Opérateurs de Services Essentiels et Opérateurs d’Importance Vitale) tels que la distribution alimentaire ou la banque. Cette nouvelle situation a créé les conditions idéales d’une recrudescence des cyberattaques.

Pourtant, si la prise de conscience était bien là avant la crise, les effets concrets ont tardé à se faire sentir. Les entreprises se savent maintenant dans l’obligation de protéger leurs données sensibles, tout en ignorant comment s’y prendre. Quelles sont les bonnes pratiques à adopter ? Pour contrer quels risques ? Faisons le tour du sujet.

 

Qu’est-ce qu’une « donnée sensible » pour une entreprise ?

Au sein d’une entreprise, les données sensibles correspondent à des informations ayant une valeur économique et/ou stratégique, dont la fuite, l’altération, la suppression ou l’utilisation frauduleuse lui seraient préjudiciables. Elles entrent dans cinq grandes catégories :

  • Les données concernant les personnes: collaborateurs, partenaires extérieurs, fournisseurs, clients et prospects, etc.
  • Les données concernant les métiers de l’entreprise: savoir-faire, secrets de fabrication, documents de propriété intellectuelle, méthodes de conception, plans de production, prototypes, etc.
  • Les données stratégiques et organisationnelles : documents issus des instances de gouvernance, décisions stratégiques, orientations, projets de recrutement, synthèses R&D, etc.
  • Les données économiques et financières: trésorerie, montages financiers, rémunérations, politique tarifaire, conditions d’achat auprès des fournisseurs, budgets prévisionnels, etc.
  • Les données légales: toute information liée aux contraintes légales ou de conformité (RGPD, Bâle II, etc.).

 

Données sensibles des entreprises VS données sensibles des individus

Le règlement général sur la protection des données (RGPD) contraint les entreprises à prendre soin des informations qu’elles collectent et exploitent, afin d’éviter qu’elles soient dérobées, altérées ou mal utilisées. Dans ce but, elles doivent mettre en place les mesures de protection nécessaires. Mais cette contrainte concerne les données sensibles des personnes physiques, et non celles des entreprises elles-mêmes. Les données sensibles personnelles regroupent les informations permettant d’identifier des individus par leurs coordonnées digitales ou bancaires, par leurs origines raciales ou ethniques, par leurs opinions politiques ou leur appartenance syndicale, par leurs croyances religieuses, ou bien encore par le biais de données génétiques ou biométriques, ou relatives à leur état de santé ou à leur orientation sexuelle. Cette définition est donnée par la Cnil.

 

À quels risques sont confrontées les données sensibles professionnelles ?

Les données sensibles des entreprises attisent les convoitises des hackers dans un but d’usurpation d’identité, celle-ci ayant pour objectif de réclamer des sommes d’argent, de manipuler des personnes, ou simplement de mettre à mal l’organisation (qu’il s’agisse de son activité ou de sa réputation, à des fins concurrentielles ou non). Les cyberattaques contre les entreprises deviennent des outils au service de la fraude en permettant de récupérer des informations de valeur.

Le 5e baromètre Euler Hermes identifie cinq risques majeurs pour les entreprises (en fonction du nombre d’attaques subies par les organisations interrogées à l’occasion de l’étude (1)) :

  1. Les fraudes au faux fournisseur (47 %). Le pirate se fait passer pour l’un des fournisseurs de l’entreprise et se fait payer soi-disant en contrepartie d’un envoi de marchandises.
  2. Les autres types d’usurpations classiques d’identité (30 %). Le hacker usurpe l’identité d’un banquier, d’un comptable, d’une administration, d’un transporteur, ou de toute autre personne extérieure à l’entreprise, mais travaillant avec elle.
  3. Les fraudes au président (29 %). Le hacker se fait passer pour le patron afin d’exiger le versement d’une somme d’argent au prétexte d’une affaire interne urgente.
  4. Les intrusions dans les systèmes d’information (28 %). Non plus pour dérober de l’argent, mais pour s’emparer de données sensibles… afin de parfaire une future usurpation d’identité.
  5. Les fraudes au faux client (25 %). Le pirate détourne de la marchandise en se faisant passer pour un client de l’entreprise.

Tous les secteurs sont touchés. Des agences de voyage aux grands des secteurs des télécoms en passant par les hôpitaux, les usurpations d’identité et autre intrusions informatiques sont légion. Mises à mal par les changements brutaux dictés par le confinemement des salariés, les entreprises n’étaient pas assez bien préparées sur le sujet de la protection de leur données et de celles de leurs clients.

Comment sécuriser les données sensibles des entreprises ?

Les entreprises prennent progressivement conscience de la nécessité de protéger leurs données sensibles contre les cyberattaques. Elles mettent en place des dispositifs techniques (ceux-ci sont passés de 12 à 20 %) et sensibilisent leurs collaborateurs aux risques (80 % des tentatives de fraudes stoppées l’ont été grâce aux contrôles internes et au bon sens des salariés) (1). Mais il y a encore du chemin à faire.

Heureusement, les solutions de sécurisation des données existent. Quelles sont-elles ?

Les solutions humaines

Les négligences en interne sont souvent montrées du doigt lors de cyberattaques réussies, et pour cause : de simples étourderies (comme le fait de connecter au SI de l’entreprise une clé USB venue de l’extérieur sans l’avoir vérifiée auparavant) peuvent ouvrir les portes du réseau informatique aux hackers.

Il est indispensable d’en passer par un travail de communication et de sensibilisation des collaborateurs au sujet des risques cyber et des bonnes pratiques à adopter pour une meilleure protection des données sensibles. Une politique de prévention adaptée passe par des formations régulières et par la diffusion d’une charte de sécurité informatique, qui mettent l’accent sur les bons gestes et les mesures de précaution :

  • Pas de téléchargement de pièces jointes qui n’ont pas été préalablement contrôlées par l’antivirus ;
  • Pas d’installation d’applications non vérifiées au sein du SI ;
  • Pas de connexion au SI en mobilité depuis un réseau non sécurisé ;
  • Une attention particulière portée à la diffusion de documents vers l’extérieur ;
  • L’utilisation de mots de passe sécurisés et changés régulièrement (voir encadré) ;
  • La banalisation des appareils nomades afin qu’ils n’attirent pas l’attention (éviter de coller un autocollant à l’effigie de la société sur un ordinateur portable professionnel) ;

De plus, il ne faut pas oublier que la cybersécurité en entreprise passe aussi par la sécurisation des accès physiques. En effet, les attaques numériques sont parfois précédées d’intrusions physiques visant les serveurs internes à l’organisation. On parle de « social engineering direct » lorsque le hacker se travestit en technicien ou en cadre (par exemple) pour pénétrer dans les locaux de l’entreprise et pirater physiquement les serveurs. Un mode d’action qui n’est pas réservé qu’au cinéma…

 

Comment sécuriser un mot de passe ?

Voici une sélection de recommandations issues de l’ANSSI pour sécuriser un mot de passe et protéger l’accès aux données sensibles de l’entreprise :

·      Utiliser un mot de passe unique pour chaque type de messagerie (personnelle/professionnelle).

·      Générer un mot de passe sans rapport avec l’utilisateur (pas de date de naissance, de nom d’animal de compagnie, etc.).

·      Modifier immédiatement les mots de passe fournis par défaut.

·      Changer de mot de passe tous les trois mois environ.

·      Choisir soi-même son mot de passe.

·      Éviter de stocker les mots de passe au même endroit, a fortiori dans un fichier aisément accessible (sur papier, sur le Cloud, sur sa messagerie…).

·      Refuser systématiquement l’option de sauvegarde des mots de passe par les applications et les navigateurs.

 

Les solutions techniques

L’approche technique suppose de prendre en compte quatre paramètres : l’actualisation des logiciels utilisés en interne, la protection des échanges, la pérennité de l’activité et la sécurisation du stockage des données sensibles.

Les logiciels et les applications sont autant de voies d’accès au système d’information de l’entreprise. Bien référencées, leurs failles sont utilisées par les hackers pour pénétrer dans les SI et dérober des informations sensibles. Pour se protéger, il est crucial de mettre à jour régulièrement les outils de travail (systèmes d’exploitation, frameworks, applications, logiciels) et d’actualiser les bases de données des antivirus et des anti-spams.

La confidentialité des échanges est essentielle. Parce que des données sensibles ne peuvent être exploitées par des personnes malveillantes qu’à condition d’être lisibles, l’utilisation d’un outil de chiffrement (comme CertiPKI) permet de les sécuriser en les rendant indéchiffrables aux yeux extérieurs, et donc inutilisables. C’est surtout le cas des informations amenées à être diffusées à l’extérieur de l’entreprise.

La pérennité de l’activité d’une entreprise peut être remise en cause par une cyberattaque. C’est le cas même si celle-ci est de faible ampleur, dès lors que des données sensibles ont été dérobées, altérées ou corrompues, ou qu’il a fallu supprimer des programmes ou des fichiers infectés lors de l’attaque. La solution consiste à utiliser un outil de sauvegarde des données, idéalement automatisé (comme AdBackup), permettant de récupérer les informations perdues ou l’ensemble du système touché, et de reprendre une activité normale aussi vite que possible. Bien sûr, cela implique de stocker les sauvegardes sur des serveurs sécurisés et extérieurs à l’entreprise.

La sécurisation du stockage est la clé de voûte d’une politique efficace de protection des données sensibles. Un serveur local, installé dans l’entreprise, peut être la cible de la cyberattaque ou devenir sa victime collatérale, occasionnant la perte des données et des sauvegardes qui auraient permis à l’organisation de retomber sur ses pattes rapidement. Le choix d’un serveur extérieur (data center) pour le stockage de ces informations contribue à renforcer leur sécurité.

 

Les enjeux relatifs à la protection du patrimoine informationnel des entreprises deviennent de plus en plus importants à mesure que les cyber risques augmentent. En effet, 8 entreprises sur 10 craignent une intensification des attaques (1). Cette prise de conscience contraint à adopter une vraie politique de sécurisation des données en interne, qui passe à la fois par la sensibilisation des collaborateurs et par la mise en place d’outils adaptés aux risques autant qu’aux besoins de chaque société. Le déconfinement est d’ailleurs une période pendant laquelle il faudra particulièrement porter attention à la sécurité des systèmes informatiques.

Il en va de la santé de l’entreprise, de sa pérennité, mais aussi de sa réputation : une organisation qui s’avère incapable de protéger ses propres données sensibles aura toutes les peines du monde à convaincre prospects et clients que leurs informations personnelles sont en sécurité sur ses serveurs…

 

(1) https://www.eulerhermes.fr/actualites/etude-fraude-2019.html

 

Régis Adonaï

Régis Adonaï
Content Manager

Oodrive, le partenaire de confiance pour la gestion de vos données sensibles.

En savoir plus Nous contacter