La fuite de données : comment vous en prévenir ?

Avec plus de 40 milliards de données piratées en 2021, la fuite de données n’est pas un problème à prendre à la légère ! À mesure que les enjeux liés à la cybersécurité s’amplifient, vous devez plus que jamais redoubler de vigilance et vous prémunir des retombées fâcheuses (en particulier juridiques et financières) d’une violation de vos informations.

Mais pour mieux endiguer ce phénomène, encore faut-il le comprendre et connaître les facteurs qui favorisent la menace. Et surtout, mieux vaut prévenir que guérir, en déployant dans votre organisation les meilleures mesures de sécurité informatique, à la fois techniques et organisationnelles.

Ça tombe bien, on est là pour vous expliquer tout ça !

La fuite de données se hisse parmi les incidents de cybersécurité les plus courants.

Elle désigne le fait que des hackers accèdent, contre votre volonté, aux informations confidentielles et sensibles de votre entreprise, à l’exemple des données médicales ou encore de celles liées au développement de votre business.

L’objectif pour les pirates ? Se servir de ces data afin de :

• nuire à votre réputation,
• vous faire chanter,
• ou, plus communément, les vendre sur le Dark Web. En effet, certaines informations, comme les données bancaires, les papiers d’identité ou tout simplement les identifiants de connexion, se vendent à prix d’or !

Ce problème, qui engendre parfois des conséquences très coûteuses (voire fatales !), touche tout type de structure, même les gouvernements et les institutions.

💡 À savoir : la fuite de données s’inscrit dans le phénomène plus large de violation des données, au même titre que la violation d’intégrité (modification non autorisée des informations) et la violation de disponibilité (mise en indisponibilité, voire suppression des data).

👉 Exemples de fuite de données connues

Nombre de scandales ont frappé les entreprises au cours de l’histoire (LinkedIn en 2012, Adobe en 2013, eBay en 2014, etc.).

Plus récemment en France, en 2021, les données de santé de près de 500 000 patients, issues de divers laboratoires, ont été dérobées puis publiées ou vendues en ligne.

Un problème bien présent donc, et les mois qui viennent de s’écouler ne laissent rien présager de bon.

La fuite de données revêt différentes formes. On retrouve d’ailleurs deux terminologies distinctes pour illustrer cette diversité :

• le Data Breach : la violation est tout à fait intentionnelle (cyberattaque par exemple). Le malfaiteur met en place des mécanismes pour sciemment dérober les data de l’entreprise.
  
  
• le Data Leak : ici, nulle attaque. La compromission des données est alors le fait d’une négligence involontaire, suite à un comportement à risque de la part d’un collaborateur ou encore une vulnérabilité déjà présente dans le système.

Ceci étant dit, voyons plus en détail les principales causes de fuite de données.

Sans surprise, les cyberattaques restent à l’origine des principales fuites de données. Selon un rapport Identity Theft Resource Center, au premier trimestre 2022, 92 % des violations résultent de ce type de manœuvre.

Plus précisément, on distingue 3 procédés principaux :

• La tentative de phishing : bien connue (et malheureusement trop répandue), elle consiste à se faire passer pour une personne de confiance auprès de la victime, afin d’accéder à ses informations. Il s’agit de la première cause de fuite de données.
  
  
• L’attaque par force brute : le hacker parvient à différents dossiers et applications en testant tous les mots de passe susceptibles d’être employés. Dans la même veine, citons aussi les attaques par dictionnaire.
  
  
• L’utilisation de malwares : ils sont introduits dans les systèmes pour voler des data, sans même que l’organisation ne s’en aperçoive. Cette opération est favorisée par la présence de défaillances dans ces systèmes.

À l’heure de l’hyperconnexion, on ne prend pas toujours la mesure de l’exposition de nos data sur la toile, alors même qu’on utilise quotidiennement de plus en plus d’appareils différents, qui communiquent entre eux.

Par exemple, certaines entreprises autorisent les salariés à recourir à leurs propres smartphones. Pourtant, ces appareils présentent souvent des failles de sécurité ! Facile après pour les hackers d’y insérer des malwares pour accéder aux informations de la société.

Autre comportement à risque : le fait de se connecter à un Wi-Fi public, dans le cadre d’un déplacement professionnel.

Mais vous l’aurez compris, la source du problème reste, in fine, les comportements imprudents.

En effet, ces comportements imprudents s’avèrent une aubaine pour les malfrats : ces derniers exploitent généralement les défauts de sécurité d’une entreprise pour commettre leurs méfaits.

Il peut être question de défaillances techniques, mais également de comportements inappropriés. Rappelez-vous, les tentatives de phishing restent la première source de fuite de données, ce qui signifie que trop de personnes mordent encore à l’hameçon.

Enfin, par négligence, on entend aussi le vol ou la perte de matériel, un ordinateur ou une clé USB par exemple. S’ils se retrouvent entre des mains mal intentionnées, attention !

Enfin, n’ignorons pas une (triste) réalité : les employés peuvent aussi intentionnellement voler les données confidentielles et sensibles de l’organisation, pour nuire à celle-ci (par vengeance par exemple) ou pour générer un profit.

En matière de fuite de données, mieux vaut prévenir que guérir !

Voici donc quelques bonnes pratiques à observer pour diminuer les risques et les vulnérabilités.

Où se situe vraiment votre organisation quant à la protection de ses informations ? Pour y voir plus clair, certains experts recommandent de procéder à une AIPD, ou Analyse d’Impact relative à la Protection des Données.

Généralement mise en œuvre pour se conformer au RGPD, elle implique d’auditer les usages de votre entreprise pour :

• identifier les risques potentiels,
• comprendre quelles seraient les conséquences en cas de faille de sécurité ou de violation de vos informations.

Ainsi, vous disposez d’un état des lieux précis pour déployer les mesures adéquates.

L’instauration de véritables processus de gestion de crise permet, entre autres :

• de savoir quelles réponses rapides apporter en cas de problème, en fonction des différents scénarios déterminés au préalable ;
• de développer en permanence des moyens techniques afin de prévenir les risques ;
• de sensibiliser les équipes à la gestion de la crise, et plus généralement au risque cyber ;
• de réaliser régulièrement des tests afin de détecter les vulnérabilités, mais aussi les comportements inadaptés ;
• de procéder à des sauvegardes régulières, et ainsi mieux rebondir en cas d’attaques sans paralyser votre activité ;
• d’apprendre de vos erreurs suite à un incident, en remettant en question les pratiques en vigueur.

💡 À savoir : les plans de reprise d’activité et les plans de continuité d’activité peuvent s’intégrer dans ces processus de gestion de crise.

Il incombe aux responsables informatiques de sonder régulièrement la toile et de procéder à une veille régulière pour vérifier si certaines de leurs données ont fuité.

Pour ce faire, la CNIL recommande de réaliser une opération RIFI (Recherche sur Internet de Fuites d’Informations). Elle implique d’automatiser la recherche de potentielles violations à l’aide de l’utilisation de mots clés. Mais attention, cette manœuvre doit être réalisée conformément aux exigences du RGPD.

👉 Pour en savoir plus sur ce sujet, découvrez l’article de la CNIL.

Fuite de données et mot de passe faible vont souvent de pair.

En effet, la vulnérabilité des identifiants de connexion constitue souvent une porte d’entrée dans vos systèmes. D’où l’intérêt d’instaurer une solide politique de mots de passe, pour éviter les comportements dangereux (utilisation des mêmes identifiants pour plusieurs comptes par exemple).

Parmi les bonnes pratiques à observer, il convient :

• d’employer uniquement des mots de passe complexes (8 caractères minimum, présence de chiffres, de majuscules et de caractères spéciaux) ;
• de les renouveler le plus souvent possible ;
• de veiller à leur confidentialité, en évitant notamment de les communiquer par mail ou de les noter sur un papier ;
• de recourir à des identifiants différents en fonction des services ;
• de privilégier l’authentification forte ou la double authentification.

💡 Notre conseil : pour vous conformer à ces règles, on vous suggère d’utiliser un logiciel adapté.

Citons par exemple Specops Password Policy, à destination des PME et ETI opérant via un environnement Active Directory. L’outil vous permet de faire respecter la politique établie en bloquant les mots de passe inadaptés : mots de passe faibles, mots du dictionnaire, mots de passe qui ont fuité, etc. Vous pouvez également imposer une longueur minimale, des règles de complexité ou encore surveiller les changements de mots de passe. Et en tant que solution développée pour l’AD, elle cible tout niveau de GPO, groupe, utilisateur ou ordinateur.

Ou encore Threat Watch, l’outil de veille stratégique de PwC, pour la surveillance et la détection des menaces potentielles qui pèsent sur votre organisation. Cette plateforme proactive de cybersécurité vous permet de surveiller en continu votre niveau d'exposition et vous aide ainsi à prendre les mesures appropriées pour atténuer les risques. Vous êtes notifiés 24h/24 selon les alertes que vous avez personnalisées et avez la possibilité de solliciter les experts PwC de votre choix en temps réel en cas d'incident.

Vous l’aurez compris, les usages des collaborateurs se trouvent bien souvent à l’origine d’une fuite de données. Il n’est pas rare que certains cliquent sur des liens suspects, ouvrent des pièces jointes sans s’assurer de leur origine ou encore partagent du contenu sensible de manière inappropriée.

Face à ce constat, vous comprenez bien l’utilité de les sensibiliser aux différents types de cyberattaque, tels que les tentatives d’hameçonnage.

💡 À savoir : certaines entreprises optent pour le déploiement de fausses campagnes de phishing. De cette manière, elles prennent la mesure des comportements réels de leurs salariés, afin de mieux les former par la suite.

Les entreprises sont parfois obligées d’échanger des documents et des informations confidentielles dans le cadre de leurs opérations.

Dans ce cas précis, mieux vaut éviter de passer par une boîte mail ou autres outils peu sécurisés. À titre d’illustration, Dropbox a subi une fuite de données en 2016, et quelque 68 millions d’identifiants se sont retrouvés à circuler dans la nature.

💡 Notre conseil : pour partager vos données sensibles, on vous conseille de passer par des logiciels spécialisés. On pense notamment à LockTransfer, solution 100 % française et certifiée par l’ANSSI. Elle permet de transférer simplement et en toute sécurité vos documents, en définissant des règles pour chaque fichier (mot de passe, date d’expiration, etc.). LockTransfer intègre également des boîtes de dépôts, dans lesquelles vos partenaires peuvent laisser et récupérer des fichiers, sans avoir besoin de créer de compte. Pratique pour la collaboration avec des externes !

Le chiffrement des données reste l’une des meilleures façons d’assurer la protection de vos data sensibles, puisqu’elles deviennent illisibles aux yeux des hackers. Ce chiffrement peut concerner différents types d’informations, comme vos mots de passe, mais aussi vos documents et vos communications.

Et bien sûr, de plus en plus d’organisations penchent pour le cryptage complet de leur réseau, grâce à l’utilisation d’un VPN. Ce dernier vous protège lorsque vous vous connectez à un réseau Wi-Fi public par exemple.

Pour rappel, l’usage de certains appareils, comme les téléphones mobiles, est souvent à l’origine de fuites de données.

On vous conseille alors de sécuriser tous vos dispositifs, au moyen :

• d’un mot de passe fort qui protègera le terminal en cas de perte ou de vol ;
• d’un VPN qui chiffrera les communications ;
• d’une sensibilisation des utilisateurs, en particulier sur la question de la sécurité des applications qu’ils souhaitent télécharger.

Un système de gestion des accès et des identités, ou identity management and access management, apporte une réponse efficace aux enjeux de sécurité et de confidentialité de la data. Il préserve les organisations des intrusions et autres attaques informatiques.

Ce processus implique, entre autres :

• de déployer la bonne politique d’identification, c’est-à-dire la politique de mot de passe évoquée plus haut ;
• de définir les droits d’accès et les autorisations afin d’éviter, par exemple, que certains collaborateurs accèdent à des données trop sensibles qui ne les regardent pas ;
• de gérer les utilisateurs internes et externes à l’organisation, plus précisément leur suppression ou leur intégration.

Vous venez malheureusement de constater que les données de votre organisation ont fuité ?

Bien entendu, renforcez les différents processus de sécurité évoqués précédemment, pour éviter qu’une telle chose ne se reproduise.

Toutefois, il existe aussi des obligations juridiques à respecter !

En tout premier lieu, prévenez l’autorité de contrôle, la CNIL en France, de préférence dans un délai de 72 h. Au-delà, il vous faudra prouver pourquoi vous avez mis plus de temps, car une notification tardive peut être sanctionnée.

De plus, il convient de fournir un maximum d’éléments à la commission, dans l’objectif de démontrer votre professionnalisme et de faciliter l’arrêt des dégâts :

• Quand avez-vous pris connaissance du problème ? Apportez des preuves afin d’attester votre réactivité.
• Quelle est la nature de la violation des données en question ?
• Dans quel contexte a-t-elle eu lieu ?
• Quelles sont les informations concernées ?
• Combien de personnes seront impactées ?
• Quelles sont les conséquences potentielles de cette fuite de données ?
• Quelles mesures avez-vous déployées pour minimiser les conséquences et pallier une éventuelle nouvelle violation dans le futur ?

En parallèle, le RGPD impose de notifier les utilisateurs, là aussi idéalement dans un délai de 72 h. De plus, agir ainsi témoigne que vous faites preuve de transparence, ce qui peut redorer votre image suite à l’incident.

La fuite de données demeure un problème bien réel, qui s’intensifie avec les années ! Et les répercussions pour les entreprises sont conséquentes, tant pour leur business que pour leur trésorerie et leur image.

Pour autant, hors de question de vivre la peur au ventre, car des solutions existent ! Bien souvent, une mauvaise gestion des règles de sécurité et les comportements inappropriés des collaborateurs sont le maillon faible dans cette sombre histoire. Ce qui signifie qu’il est possible d’adopter de bonnes pratiques pour prévenir les risques : sensibiliser au mieux les équipes, instaurer une politique de mots de passe, mettre en place un processus d’identity and access management, etc. Pour vous faciliter cette tâche, de nombreux outils peuvent vous accompagner.

Il ne vous reste plus qu’à suivre tous ces précieux conseils, et vous aborderez les mois à venir plus sereinement !