e-Xpert Solutions Genève

Chemin du Pont-Du-Centenaire 109
CH-1228 Plan-les-Ouates / Genève
SUISSE

Tel. : +41 22 727 05 55 Fax : +41 22 727 05 50

e-Xpert Solutions Lausanne

Avenue de Gratta-Paille 20
CH-1018 Lausanne
SUISSE

Tel. : +41 21 802 26 78 Fax : +41 22 727 05 50
Contactez notre support : +41 22 727 05 56
Envoyez votre message



Accédez au menu
Contactez-nous

Vos données d’entreprise inexploitables !

Retour aux articles

En cas d'attaque informatique, rendez vos données d'entreprise inexploitables !


Catégorie : Articles

Date de publication : 6 mars 2018 - Dernière mise à jour : 23 avril 2018

Rédacteur : Bruno De Sousa


L’année 2018 est marquée par l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais). Nous l’avons vu dans nos publications mensuelles de janvier et février, les principaux challenges sont la maîtrise et la gestion de vos données. Dans le cadre de cette newsletter, nous vous proposons d’aborder les sujets suivants.

Comment rendre vos données inexploitables en cas de fuite ou de vol ?

Nous produisons quotidiennement une quantité de données gigantesque par notre activité sur internet, que ce soit par nos recherches, nos réseaux sociaux, nos achats, nos emails, nos messageries privées ou même nos applications …

Cette multitude d’informations a fait naître une nouvelle façon de voir et d’analyser le monde digital. C’est le Big Data ! Certains le qualifient comme la troisième révolution industrielle, celle de l’information.

À tel point que lors de la présentation de son rapport annuel, le Préposé fédéral à la protection des données et à la transparence (PFPDT) Adrian Lobsiger a confirmé que le Big Data et la digitalisation ont augmenté considérablement son travail et celui de ses 24 collaborateurs.

Il convient donc de préciser ce que l’on entend par les données personnelles.

Selon la définition de la CNIL (France), il s’agit de : « Toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement…Par exemple, un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc… Peu importe que ces informations soient confidentielles ou publiques. »

Les notions d’identification directe et indirecte, énoncées dans la définition de la CNIL méritent d’être précisées Même si cela n’a en réalité qu’une incidence limitée dans le traitement et les mesures de sécurité à appliquer.

- L’identification directe permet d’identifier un individu à l’aide d’une seule information. Par exemple, un nom apparaissant dans un fichier.
- L’identification indirecte permet par recoupement ou par analogie d’identifier un individu à l’aide de plusieurs données le concernant. Par exemple en agrégeant le lieu de résidence, la profession, les diplômes, le sexe et l’âge d’une personne. À noter qu’une adresse IP, couplée à l’annuaire de l’opérateur en question, est également considérée comme une identification indirecte.

Il va donc sans dire que certaines données, à première vue considérées comme anonymes, sont en réalité des données à caractère personnel car elles permettent d’identifier indirectement ou par recoupement un individu. On dénote notamment dans cette catégorie les informations associées à des habitudes ou des goûts personnels.

On comprend mieux le problème que devient le Big Data dans le monde de l’entreprise où en plus du traitement des données, les responsables informatiques et légaux doivent également se protéger contre les vols ou pertes émanant de menaces internes ou externes.

Dans la lutte contre les menaces informatiques, les entreprises se focalisent essentiellement sur les menaces externes, illustrées par des attaques de phishing ou l’extraction de données via des plateformes publiques (services web par exemple), alors que plusieurs études démontrent que 50% des vols ou pertes de données sont le fait de menaces internes, qu’elles soient intentionnelles ou accidentelles. Par menaces internes, sont entendus les employés, sous-traitants, fournisseurs et prestataires externes.

Les récents cas de Swisscom, nous rappellent que personne n’est à l’abri… Une remise en question de l’ensemble des processus de sécurité est donc nécessaire afin d’identifier une stratégie claire en matière de protection des données.

Limitez l’impact d’une fuite des données en optant pour une stratégie globale !

Comme mentionné précédemment, le risque de fuite de données peut venir de l’externe comme de l’interne.

Les risques externes sont généralement mieux maitrisés, car le concept même de sécurité périmétrique rend la tâche d’un attaquant externe plus difficile… pour autant que les best practices en termes de sécurité aient été implémentées.

Les risques internes sont quant à eux souvent sous-estimés, raison pour laquelle nous souhaitons ici les mettre en exergue.

On dénombre 3 types de menaces internes en matière de vol ou perte de données :

1. La perte accidentelle : Près de 30% des incidents sont liés à des fuites de données accidentelles. La principale explication est un manque de formation et sensibilisation des utilisateurs sur le traitement des données sensibles de l’entreprise. Les deux cas récurrents, que nous voyons dans nos missions chez nos clients, sont la réponse à un mail malveillant ou une erreur de frappe au niveau des destinataires d’un mail interne

2. La perte par négligence : les règles sont faites pour être contournées. C’est bien ce que l’on nous apprend depuis notre plus jeune âge ? Nous constatons trop souvent que certains utilisateurs contournent volontiers les protections mises en place au sein de l’entreprise afin de se « faciliter » la tâche. S’envoyer des mails professionnels sur son mail privé ou même partager des informations internes avec des prestataires externes, autant de risques que courent l’entreprise en cas d’interception de ces données par des personnes malintentionnées.

3. Le vol intentionnel : souvent envisagé dans le cas de menaces externes, ce risque est rarement pris en compte dans la stratégie de sécurité des entreprises. Alors qu’il illustre souvent l’actualité comme avec l’affaire du vol des données bancaires de la banque HSBC ou même le vol des données des employés d’Apple pour un montant de 7 millions d’Euros. Il faut noter que Les motivations de ces vols sont souvent financières.
Les menaces internes présentent un réel défi car les multiples facettes qu’elles revêtent font qu’une protection à risque zéro est impossible.

Par conséquent, la mise en place d’un programme de défense basé sur un écosystème technologique couplé à une politique de gestion des données et une stratégie de sécurité sont la bonne démarche pour limiter l’impact d’une attaque.

Les sujets suivants, dont certains ont été abordés lors de notre newsletter de janvier, doivent être au cœur de ce programme de défense :

- ÉTABLIR DES RÈGLES D’EXPLOITATION DES DONNÉES: Rédaction d’une charte de sécurité afin de formaliser les règles de l’entreprise en matière de protection des données. Cette charte doit permettre d’identifier les bonnes pratiques de récolte des données, les conditions de surveillance, annoncer les sanctions éventuelles en cas de non application des règles et enfin recueillir le consentement explicite des personnes concernées.

- SENSIBILISER SES UTILISATEURS : Mise en place de campagnes de sensibilisation destinées aux employés et plus particulièrement aux personnes manipulant les données.

- FORMER SES EQUIPES INFORMATIQUES : Formation des équipes IT et de développement interne afin d’inculquer une culture de type « Privacy by design » lors de la mise en place de nouvelles solutions ou du développement de nouvelles applications. C’est-à-dire que seules les données nécessaires sont récoltées permettant ainsi de mieux protéger la sphère privée des individus.

- MAITRISER SES DONNEES : S’assurer d’être en mesure d’authentifier et d’identifier de manière unique les utilisateurs afin de pouvoir mettre en place une gestion efficace des accès aux données, des habilitations et une séparation des tâches. Le but étant de limiter l’accès aux données aux seules personnes en ayant réellement besoin dans le cadre de leur travail.

- OPTIMISER SA SÛRETÉ : Mise en place de mécanismes de sécurité physique pour l’accès aux données (locaux, datacenters, etc…)

- METTRE EN PLACE SA SECURITE INFORMATIQUE : Mise en place de solutions de sécurité des données de type DLP (Data Loss Prevention) sur les postes de travail fixes et mobiles.
1. Sécurisation du réseau informatique selon les best practices afin de limites les zones accessibles par les utilisateurs.
2. Fournir des solutions d’échange de données avec les externes de manière sécurisée afin d’éviter l’utilisation de services externes non maitrisés (Shadow IT).
3. Mise en place des procédures de sauvegarde des données.
4. Garantir la traçabilité des données afin de savoir où elles se trouvent et que l’on en fait (cartographie des flux et des emplacements).
5. Mise en place d’une surveillance des activités et d’indicateurs de menace interne dans la limite du cadre légal

- ASSURER SON RISQUE : Contracter une assurance cybersécurité couvrant d’éventuels dommages non-récupérables.

Malgré toutes les mesures pouvant être mise en place, le risque zéro ne peut être garanti. Selon le contexte et tel que le recommande le RGPD, pseudonymiser et anonymiser ses données restent des solutions efficaces pour limiter l’exploitation de ses données en cas d’incident.

Abonnez-vous
à nos newsletters