Alors que le coût moyen d’une fuite de données est de 4,24 millions de dollars(1), la CNIL a recensé 5 000 notifications de fuites de données en 2021. Un chiffre en constante augmentation depuis ces dernières années et une tendance qui impacte désormais les entreprises de toutes tailles dans leur politique de sécurité informatique et numérique.
Quelles sont les principales conséquences d’une fuite de données ? Quels dispositifs mettre en place pour améliorer la cybersécurité de son entreprise ?
Fuite de données : définition
Une fuite de données est la divulgation intentionnelle ou non d’informations qui étaient censées rester privées. Elles peuvent se produire lorsque des entreprises ou des particuliers ne sécurisent pas correctement leurs données, lorsque les systèmes qui stockent des données confidentielles sont piratés ou encore lorsque des membres de l’entreprise partagent délibérément des informations confidentielles.
Quelles sont les causes des fuites de données ?
Même si les attaques cyber sont la première cause d’une fuite de données, 3 violations de données sur 20 proviennent d’un acte accidentel d’origine interne, et 1 d’un acte interne malveillant
On distingue en effet deux types de fuites de données : les fuites de données accidentelles, sans lien avec une cyberattaque (data leak) et les fuites de données intentionnellesdues à une attaque délibérée (data breach).
DATA LEAK
- Mauvaise configuration du serveur
- Protocoles de sécurité insuffisants
- Erreur humaine (envoi d’un courriel à la mauvaise personne ou non cryptage de l’information envoyée)
DATA BREACH
- Cyberattaque par un logiciel malveillant conçu pour voler des informations
- Employé malveillant qui vend des secrets d’entreprise à un concurrent
Pourquoi est-ce important de protéger ses données ?
Les données d’entreprises sont les données que les organisations collectent et stockent sur leurs clients, leurs employés, leurs opérations, leurs produits, etc. Certaines d’entre elles sont des données personnelles que la CNIL définit comme “toute information se rapportant à une personne physique identifiée ou identifiable”. Véritable atout pour les entreprises, les données peuvent permettre aux organisations d’améliorer leur efficacité et leur prise de décision, stimuler leur croissance et acquérir un avantage concurrentiel. Pour ces raisons, les entreprises représentent une cible attractive pour les hackers et la concurrence, et peuvent être victimes de fuites de données accidentelles comme intentionnelles. Et cette tendance ne tend pas à s’améliorer.
Les conséquences de ces fuites peuvent être graves : atteinte à la réputation de l’entreprise, perte de confiance de ses clients et employés, pertes financières, pertes de propriété intellectuelle, sanctions réglementaires… Elles peuvent également entraîner la violation de la vie privée d’un individu ou compromettre la sécurité des données des fournisseurs et partenaires commerciaux. Les répercussions de ces fuites de données peuvent ainsi altérer toute la chaîne de valeur de l’entreprise.
Selon les publications de la CNIL, le nombre de notifications de violation de données à caractère personnel a augmenté de plus de 120% entre 2019 et 2021(2).
Quelles mesures mettre en place pour prévenir les fuites de données ?
- Classer les données en fonction de leur degré de confidentialité et ainsi distinguer les données sensibles des autres données. En entreprise, les données sensibles sont les données personnelles des employés et clients, les données relatives au savoir-faire, à l’état financier de l’entreprise, aux décisions stratégiques, etc.
- Crypter les informations sensibles en utilisant des mots de passe sécurisés et des accès restreints.
- Former les salariés à la gestion des informations confidentielles et les sensibiliser sur les risques et menaces d’une fuite de données.
- Effectuer une veille juridique afin de suivre l’évolution du cadre légal et réglementaire attendu dans les entreprises en matière de gestion des données.
- Surveiller son système d’information et détecter les données exposées sur des bases non sécurisées.
- Recourir à des solutions techniques pour assurer la sécurité des données en détectant par exemple les anomalies ou en alertant les équipes de sécurité lors de tentatives de cyberattaques.
Dans les cas où la fuite de données aurait déjà eu lieu, il est conseillé aux entreprises de :
- Garder des preuves de l’attaque afin de permettre aux autorités compétentes d’effectuer d’éventuelles investigations.
- Réagir vite afin de ralentir ou stopper la perte de données en anticipant une cellule de crise permettant à l’entreprise de poursuivre son activité.
- Faire appel à des experts afin de récupérer les données perdues sur les deep et dark webs.
Pour protéger ses données et éviter les cyberattaques, il convient donc d’être préparé aux éventuels dangers. En mettant en place les mesures de protection nécessaires, les entreprises amoindrissent le risque de fuite de données et de cyberattaques. Elles se protègent ainsi des risques réputationnels et financiers lourds de conséquences.
Comment surveiller son système d’information ?
Le nombre de violations de données ne cessant d’augmenter, il est de plus en plus important pour les entreprises de surveiller leurs systèmes d’information afin de détecter les données exposées. Mais par où commencer ?
Semkel propose son service de cyber monitoring pour analyser en détail les risques cyber d’une organisation, détecter les fuites de données et y remédier. Grâce à 5 solutions de cyber monitoring, les consultants et analystes de Semkel identifient les données exposées et aident les organisations à mieux protéger leur entreprise des risques cyber et réputationnels.
(1)(2) Sources : baromètre Data breach, FIC, 2021 ; baromètre Data breach, FIC, 2022