Retour accueil
Vous êtes ici  > Place net  > Place net 2016

Les données numériques : une clé de voûte à sécuriser

La cybersécurité est aujourd'hui enjeu majeur. Dans son dernier rapport sur la sécurité des données, la société CISCO, leader mondial des réseaux, faisait état d'une augmentation du vol des données.

Les vols de données : une menace chiffrée
En 2014, les coordonnées de plus de 1,3 million de clients Orange étaient divulguées. De nombreux vols de données informatiques ont émaillé l'actualité ces dernières années. Les exemples ne manquent pas. Une étude Skyhigh Networks (novembre 2015) constatait que les entreprises subissent en moyenne 16 incidents de sécurité et 2,4 vols de données par mois. La récurrence de ces problèmes illustre à quel point les données constituent un objet de convoitise. Les vols de données peuvent représenter un coût colossal pour les entreprises.
Au-delà de l'impact financier direct, il existe des conséquences indirectes. Outre le fait que la réputation de l'entreprise peut être écornée de manière durable avec des conséquences tant en termes d'image qu'en termes financiers (chute de l'action en bourse...), la divulgation de données confidentielles peut faire perdre à l'entreprise son avantage concurrentiel ou le réduire. Sur le plan légal, comme le spécifie la Commission Européenne, « les données personnelles ne peuvent être collectées légalement que sous de strictes conditions et dans un but légitime. De plus, les personnes physiques ou morales qui recueillent et gèrent vos informations personnelles doivent les protéger de tout usage abusif ». L'Europe a fait de cette problématique un cheval de bataille et travaille actuellement à l'élaboration d'un cadre légal dédié : la General Data Protection Regulation (GDPR). Cette dernière vise à prendre en compte les problématiques spécifiques posées par les évolutions technologiques (comme le cloud et les réseaux sociaux) qui étaient absentes du cadre juridique en vigueur élaboré en 1995. Une entreprise qui met en péril les données de ses salariés ou clients peut donc en être tenue pour responsable devant la justice si elle n'a pas mis en œuvre des mesures suffisantes pour les protéger. Un principe qui s'applique d'ailleurs dans bien d'autres pays. Au Canada, certains membres du site Ashley Madison touchés par la divulgation de leurs données personnelles ont déposé un recours collectif devant la justice, réclamant au total plus de 567 millions de dollars de dommages et intérêts.

Assurer la sécurité de ses données en 7 points
Près de la moitié des vols de données est causée par des cyberattaques. 28 % sont liés à des failles du système d'information lui-même. Le facteur humain est responsable dans 24 % des situations. Une bonne protection des données ne se résume pas à empêcher les intrusions mais implique une approche plus globale ciblant aussi les données elles-mêmes.


  • - Sécuriser l'infrastructure
    Beaucoup d'entreprises s'y emploient en installant le premier rempart qui s'impose : pare-feux, anti-malwares et en effectuant les mises à jour nécessaires.
  • - Chiffrer
    Les données doivent être chiffrées tout au long de leur cycle de vie, aussi bien lorsqu'elles sont transférées que lorsqu'elles sont stockées. Dans les cas les plus sensibles, un moyen efficace de chiffrer est l'utilisation d'un module HSM (Hardware Security Module) ou « module matériel de sécurité ».
  • - Assurer la traçabilité et l'intégrité
    Il est essentiel de garder la maîtrise des accès et des actions effectuées afin de garantir une traçabilité optimale. Un dispositif d'authentification forte avec certificat électronique peut par exemple y contribuer ou une authentification à double facteurs (un couple login/mot de passe associé à l'envoi d'un SMS). Lorsque le niveau de confidentialité l'exige, il est vital pour l'entreprise d'exercer un contrôle accru sur les données (en les isolant totalement du réseau de l'entreprise grâce à un logiciel hébergeant les données dans un cloud sécurisé).
  • - Sauvegarder les données
    La sauvegarde permet de se prémunir contre les erreurs humaines, les pannes matérielles ou les actes de malveillance. Il existe aujourd'hui des logiciels de sauvegarde dans le cloud qui assurent non seulement une sauvegarde automatique et paramétrable des données, mais qui se chargent aussi de les « redonder » : les données sont dupliquées sur une seconde infrastructure sécurisée.
  • - Sensibiliser les salariés L'entreprise doit informer les salariés sur le risque des pratiques comme le shadow IT (utilisation de services et produits informatiques n'ayant pas d'approbation) ou encore le BYOD (1). Il est essentiel que chacun prenne conscience des risques encourus en imprimant des fichiers, en transportant des documents sensibles, en échangeant des données confidentielles par des moyens de communication non sécurisés (e-mails, clés USB, etc.) ou en travaillant dans une situation de mobilité.
  • - Evaluer les risques et/ou les faire évaluer
    La gestion de la sécurité peut également être attestée par des certifications. Il existe par exemple une norme reconnue sur le plan international, la certification ISO 27001 : attribuée au terme d'audits externes réguliers, elle garantit « que l'entreprise maîtrise la sécurité de son information et des informations des tiers qu'elle manipule ».
  • - Ne pas négliger la dimension légale
    La notion de sécurité peut aussi prendre en compte la dimension légale en faisant appel à un prestataire européen hébergeant les données en Europe. Cette solution fait bénéficier l'entreprise d'un cadre juridique strict en matière de protection des données.
    Selon l'étude IBM/Ponemon Institute, une entreprise met en moyenne 256 jours avant de s'apercevoir qu'elle est victime d'une cyberattaque : face à un délai si important, on mesure mieux à quel point il est primordial d'adopter une approche globale de la sécurité. Aujourd'hui, les données numériques deviennent de plus en plus la clé de voûte de l'activité d'une entreprise.

Marianne Bourgeois
Anjou Eco N°45 - octobre 2016


(1) : BYOD (Bring Your Own Device), qui peut se traduire par "Apportez votre équipement personnel de communication- au bureau - »

export_facebook export_delicious export_twitter export_viadeo  export_linkedin