how-to backgroundLa fuite de données : mieux vaut prévenir que guérir !

La fuite de données : mieux vaut prévenir que guérir !

Par Jennifer MontérémalMis à jour le 27 juin 2022, publié initialement en mai 2022

Avec plus de 40 milliards de données piratées en 2021, la fuite de données n’est pas un problème à prendre à la légère ! À mesure que les enjeux liés à la cybersécurité s’amplifient, vous devez plus que jamais redoubler de vigilance et vous prémunir des retombées fâcheuses (en particulier juridiques et financières) d’une violation de vos informations.

Mais pour mieux endiguer ce phénomène, encore faut-il le comprendre et connaître les facteurs qui favorisent la menace. Et surtout, mieux vaut prévenir que guérir, en déployant dans votre organisation les meilleures mesures de sécurité informatique, à la fois techniques et organisationnelles.

Ça tombe bien, on est là pour vous expliquer tout ça !

C’est quoi la fuite de données ?

La fuite de données se hisse parmi les incidents de cybersécurité les plus courants.

Elle désigne le fait que des hackers accèdent, contre votre volonté, aux informations confidentielles et sensibles de votre entreprise, à l’exemple des données médicales ou encore de celles liées au développement de votre business.

L’objectif pour les pirates ? Se servir de ces data afin de :

  • nuire à votre réputation,
  • vous faire chanter,
  • ou, plus communément, les vendre sur le Dark Web. En effet, certaines informations, comme les données bancaires, les papiers d’identité ou tout simplement les identifiants de connexion, se vendent à prix d’or !

Ce problème, qui engendre parfois des conséquences très coûteuses (voire fatales !), touche tout type de structure, même les gouvernements et les institutions.

💡 À savoir : la fuite de données s’inscrit dans le phénomène plus large de violation des données, au même titre que la violation d’intégrité (modification non autorisée des informations) et la violation de disponibilité (mise en indisponibilité, voire suppression des data).

👉 Exemples de fuite de données connues

Nombre de scandales ont frappé les entreprises au cours de l’histoire (LinkedIn en 2012, Adobe en 2013, eBay en 2014, etc.).

    Bien sûr, comment ne pas penser au scandale Facebook-Cambridge Analytica : les informations personnelles de plus de 50 millions d’utilisateurs du célèbre réseau social ont été illégalement exploitées par la société Cambridge Analytica, servant par la suite à influencer des intentions de vote aux États-Unis.

    Plus récemment en France, en 2021, les données de santé de près de 500 000 patients, issues de divers laboratoires, ont été dérobées puis publiées ou vendues en ligne.

    Exemples fuite de données© Statista

    Un problème bien présent donc, et les mois qui viennent de s’écouler ne laissent rien présager de bon.

    Pourquoi la fuite de données est-elle risquée ?

    Les chiffres de la fuite de données en 2021

    En effet, selon un rapport publié par l’entreprise de cybersécurité américaine Tenable, plus de 40 milliards de données ont été piratées ou perdues en 2021… soit une hausse de 78 % par rapport à 2020 !

    Et la France n’est pas épargnée. En plus de la fuite des informations médicales des 500 000 patients, mentionnons également :

    • la compromission de 120 000 profils Pôle Emploi en juin,
    • ou encore la mise en ligne au mois d’août des résultats de plus de 700 000 tests antigéniques.

    À quoi s’attendre niveau fuite de données en 2022 ?

    Des risques coûteux

    En 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, dans le but de renforcer la sécurité des informations personnelles des internautes, et également d’inciter les organisations à davantage prendre conscience de ces enjeux.

    Par conséquent, la fuite de données, en particulier dans des secteurs réglementés tels que celui de la santé, entraîne souvent des amendes très salées pour les entreprises.

    À titre d’illustration, suite à la fameuse violation des informations médicales de 500 000 patients dont nous avons parlé plus haut, la CNIL a imposé une amende de 1,5 million d’euros à la société Dedalus Biologie, l’éditeur du logiciel à l’origine de l’incident.

    [En 2021] les coûts des violations de données sont passés de 3,86 millions USD à 4,24 millions USD, soit le coût total moyen le plus élevé en 17 ans.

    IBM

    Des informations stratégiques dévoilées

    N’oublions pas que les données volées dans les organisations ne concernent pas uniquement les clients (identité, informations bancaires, numéro de sécurité sociale, etc.).

    Il peut également s’agir de data stratégiques, relatives à vos innovations, vos brevets en cours, vos plans de développement. Imaginez un peu si elles se perdent dans la nature… voire tombent entre les mains de vos concurrents !

    Une réputation ternie

    Enfin, il arrive que ce type d’incident soit médiatisé.

    Conséquence : l’entreprise concernée perd alors la confiance de ses clients, de ses partenaires ou encore de ses investisseurs, qui la jugeront inapte à assurer la sécurité des données.

    Les causes de la fuite de données en entreprise

    La fuite de données revêt différentes formes. On retrouve d’ailleurs deux terminologies distinctes pour illustrer cette diversité :

    • le Data Breach : la violation est tout à fait intentionnelle (cyberattaque par exemple). Le malfaiteur met en place des mécanismes pour sciemment dérober les data de l’entreprise.

    • le Data Leak : ici, nulle attaque. La compromission des données est alors le fait d’une négligence involontaire, suite à un comportement à risque de la part d’un collaborateur ou encore une vulnérabilité déjà présente dans le système.

    Ceci étant dit, voyons plus en détail les principales causes de fuite de données.

    Les cyberattaques

    Sans surprise, les cyberattaques restent à l’origine des principales fuites de données. Selon un rapport Identity Theft Resource Center, au premier trimestre 2022, 92 % des violations résultent de ce type de manœuvre.

    Plus précisément, on distingue 3 procédés principaux :

    • La tentative de phishing : bien connue (et malheureusement trop répandue), elle consiste à se faire passer pour une personne de confiance auprès de la victime, afin d’accéder à ses informations. Il s’agit de la première cause de fuite de données.

    • L’attaque par force brute : le hacker parvient à différents dossiers et applications en testant tous les mots de passe susceptibles d’être employés. Dans la même veine, citons aussi les attaques par dictionnaire.

    • L’utilisation de malwares : ils sont introduits dans les systèmes pour voler des data, sans même que l’organisation ne s’en aperçoive. Cette opération est favorisée par la présence de défaillances dans ces systèmes.

    L’exposition sur internet

    À l’heure de l’hyperconnexion, on ne prend pas toujours la mesure de l’exposition de nos data sur la toile, alors même qu’on utilise quotidiennement de plus en plus d’appareils différents, qui communiquent entre eux.

    Par exemple, certaines entreprises autorisent les salariés à recourir à leurs propres smartphones. Pourtant, ces appareils présentent souvent des failles de sécurité ! Facile après pour les hackers d’y insérer des malwares pour accéder aux informations de la société.

    Autre comportement à risque : le fait de se connecter à un Wi-Fi public, dans le cadre d’un déplacement professionnel.

    Mais vous l’aurez compris, la source du problème reste, in fine, les comportements imprudents.

    La négligence de l’entreprise et des collaborateurs

    En effet, ces comportements imprudents s’avèrent une aubaine pour les malfrats : ces derniers exploitent généralement les défauts de sécurité d’une entreprise pour commettre leurs méfaits.

    Il peut être question de défaillances techniques, mais également de comportements inappropriés. Rappelez vous, les tentatives de phishing restent la première source de fuite de données, ce qui signifie que trop de personnes mordent encore à l’hameçon.

    Enfin, par négligence, on entend aussi le vol ou la perte de matériel, un ordinateur ou une clé USB par exemple. S’ils se retrouvent entre des mains mal intentionnées, attention !

    Le vol interne

    Enfin, n’ignorons pas une (triste) réalité : les employés peuvent aussi intentionnellement voler les données confidentielles et sensibles de l’organisation, pour nuire à celle-ci (par vengeance par exemple) ou pour générer un profit.

    Comment éviter la fuite de données ? 9 bonnes pratiques à connaître

    En matière de fuite de données, mieux vaut prévenir que guérir !

    Voici donc quelques bonnes pratiques à observer pour diminuer les risques et les vulnérabilités.

    # 1 Auditer la situation de l’entreprise

    Où se situe vraiment votre organisation quant à la protection de ses informations ? Pour y voir plus clair, certains experts recommandent de procéder à une AIPD, ou Analyse d’Impact relative à la Protection des Données.

    Généralement mise en œuvre pour se conformer au RGPD, elle implique d’auditer les usages de votre entreprise pour :

    • identifier les risques potentiels,
    • comprendre quelles seraient les conséquences en cas de faille de sécurité ou de violation de vos informations.

    Ainsi, vous disposez d’un état des lieux précis pour déployer les mesures adéquates.

    #2 Mettre en place un processus de gestion de crise

    L’instauration de véritables processus de gestion de crise permet, entre autres :

    • de savoir quelles réponses rapides apporter en cas de problème, en fonction des différents scénarios déterminés au préalable ;
    • de développer en permanence des moyens techniques afin de prévenir les risques ;
    • de sensibiliser les équipes à la gestion de la crise, et plus généralement au risque cyber ;
    • de réaliser régulièrement des tests afin de détecter les vulnérabilités, mais aussi les comportements inadaptés ;
    • de procéder à des sauvegardes régulières, et ainsi mieux rebondir en cas d’attaques sans paralyser votre activité ;
    • d’apprendre de vos erreurs suite à un incident, en remettant en question les pratiques en vigueur.

    💡 À savoir : les plans de reprise d’activité et les plans de continuité d’activité peuvent s’intégrer dans ces processus de gestion de crise.

    # 3 Détecter au plus vite les fuites de données

    Il incombe aux responsables informatiques de sonder régulièrement la toile et de procéder à une veille régulière pour vérifier si certaines de leurs données ont fuité.

    Pour ce faire, la CNIL recommande de réaliser une opération RIFI (Recherche sur Internet de Fuites d’Informations). Elle implique d’automatiser la recherche de potentielles violations à l’aide de l’utilisation de mots clés. Mais attention, cette manœuvre doit être réalisée conformément aux exigences du RGPD.

    👉 Pour en savoir plus sur ce sujet, découvrez l’article de la CNIL.

    # 4 Instaurer une politique de mots de passe

    Fuite de données et mot de passe faible vont souvent de pair.

    En effet, la vulnérabilité des identifiants de connexion constitue souvent une porte d’entrée dans vos systèmes. D’où l’intérêt d’instaurer une solide politique de mots de passe, pour éviter les comportements dangereux (utilisation des mêmes identifiants pour plusieurs comptes par exemple).

    Parmi les bonnes pratiques à observer, il convient :

    • d’employer uniquement des mots de passe complexes (8 caractères minimum, présence de chiffres, de majuscules et de caractères spéciaux) ;
    • de les renouveler le plus souvent possible ;
    • de veiller à leur confidentialité, en évitant notamment de les communiquer par mail ou de les noter sur un papier ;
    • de recourir à des identifiants différents en fonction des services ;
    • de privilégier l’authentification forte ou la double authentification.

    💡 Notre conseil : pour vous conformer à ces règles, on vous suggère d’utiliser un logiciel adapté. Citons par exemple Specops Password Policy, à destination des PME et ETI opérant via un environnement Active Directory. L’outil vous permet de faire respecter la politique établie en bloquant les mots de passe inadaptés : mots de passe faibles, mots du dictionnaire, mots de passe qui ont fuité, etc. Vous pouvez également imposer une longueur minimale, des règles de complexité ou encore surveiller les changements de mots de passe. Et en tant que solution développée pour l’AD, elle cible tout niveau de GPO, groupe, utilisateur ou ordinateur.

    # 5 Sensibiliser les collaborateurs aux risques

    Vous l’aurez compris, les usages des collaborateurs se trouvent bien souvent à l’origine d’une fuite de données. Il n’est pas rare que certains cliquent sur des liens suspects, ouvrent des pièces jointes sans s’assurer de leur origine ou encore partagent du contenu sensible de manière inappropriée.

    Face à ce constat, vous comprenez bien l’utilité de les sensibiliser aux différents types de cyberattaque, tels que les tentatives d’hameçonnage.

    💡 À savoir : certaines entreprises optent pour le déploiement de fausses campagnes de phishing. De cette manière, elles prennent la mesure des comportements réels de leurs salariés, afin de mieux les former par la suite.

    # 6 Partager vos informations sensibles de manière sécurisée

    Les entreprises sont parfois obligées d’échanger des documents et des informations confidentielles dans le cadre de leurs opérations.

    Dans ce cas précis, mieux vaut éviter de passer par une boîte mail ou autres outils peu sécurisés. À titre d’illustration, Dropbox a subi une fuite de données en 2016, et quelque 68 millions d’identifiants se sont retrouvés à circuler dans la nature.

    💡 Notre conseil : pour partager vos données sensibles, on vous conseille de passer par des logiciels spécialisés. On pense notamment à LockTransfer, solution 100 % française et certifiée par l’ANSSI. Elle permet de transférer simplement et en toute sécurité vos documents, en définissant des règles pour chaque fichier (mot de passe, date d’expiration, etc.). LockTransfer intègre également des boîtes de dépôts, dans lesquelles vos partenaires peuvent laisser et récupérer des fichiers, sans avoir besoin de créer de compte. Pratique pour la collaboration avec des externes !

    #7 Recourir au chiffrement des données

    Le chiffrement des données reste l’une des meilleures façons d’assurer la protection de vos data sensibles, puisqu’elles deviennent illisibles aux yeux des hackers. Ce chiffrement peut concerner différents types d’informations, comme vos mots de passe, mais aussi vos documents et vos communications.

    Et bien sûr, de plus en plus d’organisations penchent pour le cryptage complet de leur réseau, grâce à l’utilisation d’un VPN. Ce dernier vous protège lorsque vous vous connectez à un réseau Wi-Fi public par exemple.

    #8 Sécuriser tous vos appareils

    Pour rappel, l’usage de certains appareils, comme les téléphones mobiles, est souvent à l’origine de fuites de données.

    On vous conseille alors de sécuriser tous vos dispositifs, au moyen :

    • d’un mot de passe fort qui protègera le terminal en cas de perte ou de vol ;
    • d’un VPN qui chiffrera les communications ;
    • d’une sensibilisation des utilisateurs, en particulier sur la question de la sécurité des applications qu’ils souhaitent télécharger.

    # 9 Déployer un système de gestion des accès et des identités

    Un système de gestion des accès et des identités, ou identity management and access management, apporte une réponse efficace aux enjeux de sécurité et de confidentialité de la data. Il préserve les organisations des intrusions et autres attaques informatiques.

    Ce processus implique, entre autres :

    • de déployer la bonne politique d’identification, c’est-à-dire la politique de mot de passe évoquée plus haut ;
    • de définir les droits d’accès et les autorisations afin d’éviter, par exemple, que certains collaborateurs accèdent à des données trop sensibles qui ne les regardent pas ;
    • de gérer les utilisateurs internes et externes à l’organisation, plus précisément leur suppression ou leur intégration.

    Zut, vos données ont fuité ! Comment réagir ?

    Vous venez malheureusement de constater que les données de votre organisation ont fuité ?

    Bien entendu, renforcez les différents processus de sécurité évoqués précédemment, pour éviter qu’une telle chose ne se reproduise.

    Toutefois, il existe aussi des obligations juridiques à respecter !

    En tout premier lieu, prévenez l’autorité de contrôle, la CNIL en France, de préférence dans un délai de 72 h. Au-delà, il vous faudra prouver pourquoi vous avez mis plus de temps, car une notification tardive peut être sanctionnée.

    De plus, il convient de fournir un maximum d’éléments à la commission, dans l’objectif de démontrer votre professionnalisme et de faciliter l’arrêt des dégâts :

    • Quand avez-vous pris connaissance du problème ? Apportez des preuves afin d’attester votre réactivité.
    • Quelle est la nature de la violation des données en question ?
    • Dans quel contexte a-t-elle eu lieu ?
    • Quelles sont les informations concernées ?
    • Combien de personnes seront impactées ?
    • Quelles sont les conséquences potentielles de cette fuite de données ?
    • Quelles mesures avez-vous déployées pour minimiser les conséquences et pallier une éventuelle nouvelle violation dans le futur ?

    En parallèle, le RGPD impose de notifier les utilisateurs, là aussi idéalement dans un délai de 72 h. De plus, agir ainsi témoigne que vous faites preuve de transparence, ce qui peut redorer votre image suite à l’incident.

    Que retenir ?

    La fuite de données demeure un problème bien réel, qui s’intensifie avec les années ! Et les répercussions pour les entreprises sont conséquentes, tant pour leur business que pour leur trésorerie et leur image.

    Pour autant, hors de question de vivre la peur au ventre, car des solutions existent ! Bien souvent, une mauvaise gestion des règles de sécurité et les comportements inappropriés des collaborateurs sont le maillon faible dans cette sombre histoire. Ce qui signifie qu’il est possible d’adopter de bonnes pratiques pour prévenir les risques : sensibiliser au mieux les équipes, instaurer une politique de mots de passe, mettre en place un processus d’identity and access management, etc. Pour vous faciliter cette tâche, de nombreux outils peuvent vous accompagner.

    Il ne vous reste plus qu’à suivre tous ces précieux conseils, et vous aborderez les mois à venir plus sereinement !

    La transparence est une valeur essentielle pour Appvizer. En tant que média, nous avons pour objectif d'offrir à nos lecteurs des contenus utiles et de qualité tout en permettant à Appvizer de vivre de ces contenus. C'est pourquoi, nous vous invitons à découvrir notre système de rémunération.   En savoir plus

    Meilleurs logiciels pour vous