Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Data leaks : l’humain au cœur de la fuite de données

mai 2018 par David Boucher, Directeur Cybersécurité de Hub One

Le nombre grandissant de fuites de données auxquelles sont confrontées les entreprises focalise l’attention sur la cybersécurité et les différents verrous technologiques. Cependant, la sensibilisation des collaborateurs reste un des premiers remparts pour contrer ces data leaks.

Quel est le point commun entre Uber, Yahoo ou encore Sony et son service Playstation Network ? Toutes ces multinationales se sont récemment fait pirater des données confidentielles relatives à leurs clients (noms, prénoms, adresses emails voire coordonnées bancaires), et ce à grande échelle.

Du fait de leur ampleur, ces exemples de cybercriminalité ont fait la une des journaux et ont mis en lumière la nécessité de protéger ces données contre les hackers ou les groupes malveillants cherchant à monnayer les informations provenant de ces vols.

Ce type de piratage peut être mené depuis l’extérieur mais aussi par des salariés au sein même de l’entreprise (appelés les « insiders ») qui, par inadvertance ou de façon délibérée, font sortir de l’entreprise des données auxquelles ils ont accès. Pour se faire, il n’est pas forcément nécessaire de mettre en œuvre des moyens importants et complexes : le transfert de fichiers via l’application Dropbox ou via une clé USB par exemple peut entraîner la mise à disposition d’un volume important d’informations sensibles à des personnes mal intentionnées, tout en échappant au contrôle des équipes de gestion des systèmes d’information.

Cloisonnement de l’information

Les fuites de données ne se produisent pas uniquement au sein de l’environnement numérique. Dans de nombreuses organisations, il n’est pas rare que des données sensibles en version papier soient exposées aux yeux de tous : un contrat oublié sur une imprimante, un devis mis à la poubelle sans précaution ou encore un document confidentiel insuffisamment sécurisé.

Pour limiter les risques, tant sur les documents physiques que numériques, un facteur est trop souvent oublié : celui de l’humain. D’où la nécessité de sensibiliser des équipes à cet enjeu. Mettre en place un système de classification de la sensibilité de l’information, par exemple en définissant des niveaux de sécurisation, représente une première étape. Les documents peuvent avoir différents niveaux de sensibilité : public, diffusion limitée, confidentiel industrie, confidentiel…

Chaque entreprise, en fonction de ses usages et de son domaine d’activité, doit définir sa politique en la matière et déterminer les droits d’accès (quel collaborateur peut accéder à quelle information). Et surtout, elle doit prévenir son personnel des menaces potentielles liées au vol de données et l’alerter sur le niveau de sensibilité des informations qu’il manipule. Ainsi, le montant d’un devis ou les réglages de certains équipements, éléments apparemment anodins, peuvent être considérés comme des informations stratégiques pour la concurrence ou pour un attaquant qui souhaiterait les vendre.

Une fois les mécanismes de classification et de protection des données définis, reste encore à les mettre en place et les faire adopter.

En termes de matériel, il convient aussi d’être vigilant et de ne pas laisser un ordinateur portable ou un smartphone professionnel sans surveillance dans des espaces publics. S’ils sont déverrouillés, ils représentent autant de points d’entrées (accès aux boîtes emails ou aux dossiers) pour des personnes mal intentionnées.

Dans ce contexte, l’entrée en vigueur du RGPD – règlement européen sur la protection des données personnelles – le 25 mai 2018 doit permettre de responsabiliser les acteurs traitant des données personnelles. Mais une nouvelle fois, cette réglementation, qui va dans le bon sens pour les citoyens et formalisera un certain nombre d’obligations, ne résoudra pas tout. Car toutes les technologies du monde ne suffiront pas si le facteur humain n’est pas pris en compte.




Voir les articles précédents

    

Voir les articles suivants