De nombreuses voix se sont exprimées pour expliquer que les failles enregistrées en 2011 devaient servir de catalyseur à un changement radical en matière de protection des données. Un an plus tard, il semble pourtant que les entreprises éprouvent toujours autant de difficultés à mettre en œuvre les stratégies de sécurité informatique qui s’imposent. Alors que des marques aussi prestigieuses que LinkedIn, last.fr ou eHarmony ont à leur tour été victimes d’attaques informatiques, il est essentiel de revenir sur les événements de l’année dernière et de chercher à savoir ce que les entreprises ont réellement appris de ces incidents qui mettent leur sécurité en péril.

Dans la mesure où elles dépendent fortement de la confiance de leurs clients, il serait logique que les sociétés inscrivent la sécurité des données au premier rang de leurs priorités et qu’elles adoptent les standards les plus stricts en la matière. Mais à la lumière des graves incidents de sécurité qui ont récemment fait la une de l’actualité, c’est loin d’être le cas…

Si aucune entreprise n’est à l’abri d’une agression informatique et s’il est bien sûr impossible d’éviter toutes les failles de sécurité, les entreprises doivent comprendre qu’il est nécessaire de déployer des mesures de sécurité efficaces pour assurer la confidentialité de leurs clients et la protection de leurs données. Les conséquences d’une faille de sécurité, tant en termes de réputation que sur le plan financier, sont trop lourdes pour qu’une entreprise, quelle qu’elle soit, n’en tienne pas compte.

Et pourtant, il semble que les entreprises renâclent à faire le petit pas supplémentaire qui assurerait l’efficacité de leur stratégie de protection des données contre les menaces de sécurité.

Alors que l’avènement du cloud et la nomadisation croissante des utilisateurs multiplient l’origine des menaces, il est de plus en plus difficile d’établir des stratégies de sécurité cohérentes et capables de couvrir tous les points d’accès. Lors d’une récente étude consacrée aux stratégies de sécurité adoptées par les entreprises, nous nous sommes rendu compte que la majorité des DSI interrogés n’utilisaient pas de technologie de chiffrement au-delà des points d’extrémité des systèmes informatiques afin de chiffrer les données et les informations enregistrées à l’intérieur de leur périmètre de compétence. Ce qui implique qu’ils n’utilisent pas de technologie de chiffrement globale pour sécuriser les systèmes et les données de base. Une telle attitude est pour le moins surprenante, compte tenu des récentes failles de sécurité qui ont mis en lumière l’incapacité des grands comptes à déployer les technologies de chiffrement les plus élémentaires.

Une enquête récemment effectuée par Verizon Risk révèle que 97 % des failles de sécurité enregistrées ces dernières années auraient pu être évitées alors que la majorité d’entre elles n’étaient guère sophistiquées. Plus alarmant encore, 68 % de ces incidents impliquaient l’attaque de serveurs qui hébergent les données de base des entreprises et permettent d’accéder à leurs informations les plus sensibles.

Ce qui amène à la question suivante : pourquoi les entreprises ont-elles autant de mal à mettre en œuvre les standards de sécurité les plus basiques ? Dans de nombreux cas, cette attitude est due à l’impression - fausse - que le chiffrement ne concerne que les données hautement sensibles, telles que les informations financières et les actifs de propriété intellectuelle. Au cours des dernières années, le fait que les données sensibles (informations personnelles et autres données partagées sur les réseaux sociaux) constituent une cible de plus en appréciée des cybercriminels, a été largement sous-estimé. Face au volume croissant de données échangées sur Internet, les entreprises doivent réagir et chiffrer toutes les informations, pas seulement les données financières.

La mauvaise compréhension des risques de sécurité constitue un problème à résoudre pour les entreprises souhaitant améliorer leur stratégie de sécurité. Chiffrer les seuls points d’extrémité ne suffit plus pour assurer une sécurité à toute épreuve. Il est à présent nécessaire de déployer une approche plus robuste qui prévoit le chiffrement de bout en bout de tous les points d’accès, et qui sécurise et protège les données proprement dites. Les entreprises qui feront l’impasse sur une solution de chiffrement complète n’auront plus aucune excuse : les outils de chiffrement ne manquent pas et leur efficacité n’est plus à démontrer.

En chiffrant toutes les données au moment de leur création et tout au long de leur cycle de vie, les entreprises pourront protéger la confidentialité des utilisateurs, ainsi que leurs données les plus précieuses, indépendamment du lieu où elles sont stockées, sur un serveur ou dans le nuage.

La gestion des clés de sécurité représente également une mesure importante pour protéger efficacement les données. En stockant les clés de chiffrement au niveau matériel, à l’extérieur de l’environnement virtuel, les entreprises auront la certitude que les données sensibles ne courent aucun risque, même si elles tombent entre les mains de cybercriminels. Mieux encore, cette démarche ajoute une couche de sécurité supplémentaire qui peut être élargie à la totalité des données et des applications accessibles localement et sur le Cloud.

Associée à une authentification forte à deux facteurs, une telle approche permettra aux entreprises soucieuses de leur sécurité de conserver en permanence un temps d’avance sur les cybercriminels.