Bien que l’attaque d’Ashley Madison ait été un choc pour les 37 millions d’utilisateurs du site, les attaques de cette sorte deviennent de plus en plus fréquentes. Mais quelles sont les répercussions de l’atteinte à la protection des données ? Sony Pictures, victime d’une cyberattaque en 2014, a prédit que l’atteinte à la protection des données coûterait plus de 27 M€ pour l’année fiscale complète. La réparation des dommages causés peut représenter une facture salée. La restauration des systèmes financiers et IT entraîne des dépenses aussi bien en main-d’œuvre qu’en logiciels et matériels.

Quel est le vrai prix de l’atteinte à la protection des données ?

Une étude réalisée par l’institut Ponemon a tenté de déterminer le prix de l’atteinte à la protection des données. Le rapport mentionne les chiffres clés suivants :

– Une atteinte à la protection des données coûterait aux entreprises en moyenne 68€ en frais directs pour remédier à la situation, et 130€ en frais indirects comme une perte de clientèle. Il s’agit d’un nouveau record de 197€ par dossier compromis.
– La moyenne totale du coût organisationnel d’une atteinte à la protection des données est passée d’environ 4,8 millions d’euros en 2013 à 5,9 millions d’euro
– Les frais de détection et les frais indirects sont passés d’environ 383 000€ à 567 000 €. Ces chiffres ont indiqué une augmentation de l’investissement en activités juridiques et inspections, en services d’évaluation et de vérification, en gestion d’équipe de crise, et en communication avec les parties prenantes et la direction.
– Les frais survenant après l’atteinte à la protection des données ont également augmenté. Ces coûts comprennent habituellement les activités du centre d’assistance, les communications entrantes, les enquêtes spéciales et les mesures correctives, les frais juridiques et plus. Ces frais ont augmenté, passant de 1450 million d’euros en 2014 à 1486 million d’euros dans l’enquête de cette année.

Il est clair selon ces chiffres que l’atteinte à la protection des données est très coûteuse. Or, pour les entreprises, il y a aussi un problème de perte de confiance de la clientèle. Pour éviter d’être la prochaine victime au cœur d’un scandale d’atteinte à la protection des données, les organismes doivent prendre la sécurité au sérieux.

Un mot d’ordre : Éducation

En plus d’avoir les bonnes solutions en matière de sécurité, les employeurs doivent renseigner leur personnel sur les bonnes pratiques à adopter. Pour les hackers voulant obtenir des données, il est plus facile de cibler des employés directement que de s’attaquer au pare-feu. Les employeurs doivent renseigner leurs personnels pour les sensibiliser aux techniques de piratage comme l’hameçonnage et les attaques de social engineering. L’hameçonnage ressemble beaucoup à ce qu’indique son nom. Le pirate enverra un courriel, qui peut sembler légitime, à tout un groupe de boîtes de réception. Il suffit qu’un seul employé clique sur le lien malveillant et les pirates pourraient accéder au réseau.
Il y a une panoplie de précautions que les entreprises et le personnel peuvent prendre pour se protéger des piratages.

Les employés doivent être vigilants, en se méfiant de tout courriel inattendu contenant une pièce jointe dans leur boîte de réception.

Ne faire confiance à personne, se méfier de tout le monde

Si les organismes veulent renforcer la protection de leur réseau, ils doivent se rendre compte que la menace peut venir de n’importe qui et de n’importe où. Chaque partie de logiciel et de matériel pourrait représenter un chemin potentiel pour des pirates. Cela rappelle que les organismes doivent travailler dans un environnement « zéro trust ». Les environnements « zéro trust » sont implantés par les pare-feu et enlèvent la supposition automatique qu’une action ou que des actions devraient être fiables. Chaque action doit être traitée avec le même niveau de soupçon, peu importe la provenance de l’action. Tout appareil compromis appartenant à un employé doit être détecté et capable de reprendre son rôle important au sein des réseaux et des données. Si un problème survient, il doit être scruté à la loupe et faire l’objet d’une enquête jusqu’à ce qu’il soit résolu.

Étapes simples de protection

L’atteinte à la protection des données devient de plus en plus connue du grand public à la suite d’attaques envers de grandes entreprises et des gouvernements. Or, cela ne signifie pas pour autant que ces derniers sont les seules cibles de piratage informatique. Les entreprises de toutes tailles devraient suivre ces étapes faciles pour garder un réseau sécurisé :

– Former les employés pour qu’ils demeurent vigilants et les renseigner au sujet des menaces émergentes - la meilleure défense est d’avoir des solutions de sécurité adéquates et des procédures implantées. De plus, le personnel a un rôle à jouer en remettant en question tout ce qui semble suspect dans sa boîte de réception ou sur le Web.
– Travailler dans un environnement « zero trust » - si tout est scruté à la loupe, alors il devient de plus en plus difficile pour les pirates de réussir et de se cacher.
– Créer un budget réservé pour la cybersécurité - pour éviter de payer les frais survenant après une atteinte à la protection des données, soyez prévoyant et assurez-vous d’avoir en place les bons logiciels et matériels plutôt que de réagir à un piratage ou à une perte de données.