Oups ! Le constructeur automobile Toyota vient d’annoncer qu’il venait seulement de supprimer une faille de sécurité présente dans son environnement cloud depuis… 2013. Elle permettait à n’importe qui de s’y connecter et d’accéder au contenu de ses bases de données sans avoir à saisir aucun mot de passe. De ce fait, les données personnelles (en particulier les données de localisation horodatées) de plus de 2 millions d’automobilistes utilisateurs des services d’appairage de leur smartphone avec l’ordinateur de bord de leur voiture (pour celles qui en étaient pourvues) auraient ainsi été constamment exposées pendant ces 10 dernières années.
On ignore si cette fuite de données a été exploitée dans le cadre d’agissements malveillants. Mais le mal est fait : Toyota est maintenant empêtré dans cette affaire qui risque de lui coûter cher en termes de réputation. Le constructeur japonais est probablement en train de plancher sur un long email d’excuses qu’il adressera prochainement aux victimes.
Cette affaire illustre la difficulté pour les entreprises de se prémunir contre les fuites de données. Mais au fait, de quoi parle-t-on ? Qu’est-ce qu’une fuite de données et comment s’en protéger ?
Qu’est-ce qu’une fuite de données ?
Une fuite de données se produit lorsque des individus non autorisés obtiennent communication de données exposées délibérément ou non.
Elle peut prendre des formes diverses :
- Un document confidentiel posé en évidence sur un bureau ;
- L’indiscrétion d’un employé dévoilant des détails sur les rémunérations de collaborateurs, ou évoquant les développements les plus récents de votre service de R&D ;
- Les données de vente de votre entreprise du mois affichées sur l’écran de l’ordinateur portable de l’un de vos collaborateurs, visible par-dessus son épaule lorsqu’il accède à ces données dans un lieu public ou un moyen de transport ;
- Un disque dur externe contenant les sauvegardes de votre logiciel de comptabilité et de contrôle de gestion laissé sans surveillance et ne requérant pas de mot de passe pour accéder aux informations qu’il contient ;
- Un logiciel de gestion du personnel présentant une vulnérabilité permettant à des intrus d’accéder aux fiches individuelles des employés. Ces dernières contiennent des détails liés à leurs conditions d’emploi (leurs salaires…), les références de leur compte bancaire, ou des données personnelles confidentielles (informations médicales, juridiques…).
Dans cet article, nous nous intéresserons à ces catégories de fuites de données numériques.
Distinguez les fuites de données des violations de données
On confond souvent les fuites de données et les violations de données, mais en réalité, ces deux termes recouvrent des incidents différents.
Une fuite de données est le résultat de l’exposition accidentelle de données sensibles. L’indiscrétion n’a pas été sciemment recherchée, elle est la conséquence de l’inexistence ou de la faiblesse des contrôles de sécurité censés protéger ces informations.
Une violation de données, en revanche, est le produit d’une cyberattaque dûment préparée et perpétrée pour accéder à ces données.
Les cybercriminels profitent de failles de sécurité informatique dont ils ont appris l’existence pour s’introduire dans un système informatique et dérober les données qu’ils convoitent.
Pour donner une image plus parlante de la fuite de données, on peut employer l’image d’une porte ouverte : les personnes qui ont eu accès aux données ont disposé d’un accès libre à ces données.
La violation de données, au contraire, s’apparente à un braquage : les pirates emploient la ruse et/ou la violence pour s’introduire par effraction et s’emparer des données en question.
Les causes des fuites de données
Les fuites de données sont le plus souvent le résultat d’erreurs humaines (pensez à la perte d’une clé USB, ou à l’envoi par erreur d’un email contenant des informations confidentielles à un destinataire erroné), voire, d’une volonté de nuire (un employé mécontent qui révèle des informations sensibles pour se venger).
Un tiers à l’entreprise peut également en être à l’origine. Par exemple, votre entreprise peut être victime d’une fuite de données survenant chez l’un de vos fournisseurs.
Mais elles sont souvent favorisées par l’insuffisance des mesures prises pour assurer la sécurité des données, ou la mauvaise configuration du système informatique. En particulier, les facteurs suivants sont souvent mis en cause :
- Des mots de passe peu sécurisés : trop courts, trop évidents (dates de naissance, ou du type “00000”), utilisés sur plusieurs comptes, etc. ;
- Un paramétrage inapproprié des logiciels ;
- Des logiciels non mis à jour.
Les conséquences des fuites de données
Les fuites de données peuvent être à l’origine :
- D’espionnage industriel (un concurrent peut découvrir le nom de vos clients, l’aspect d’un prototype très novateur ou des données sensibles qui pourraient donner lieu à des chantages ;
- Du vol de vos de données : des individus malveillants peuvent revendre des données personnelles ou des accès à des logiciels ou des systèmes sur le dark web. Des hackers pourront les acquérir pour une somme modique. Ils s’en serviront pour orchestrer le piratage informatique de votre entreprise, ou usurper l’identité des propriétaires de ces données dans le but de perpétrer des vols et des agissements malveillants.
- De vols de biens ou d’argent si les données portent sur des biens que vous détenez, ou fournissent des accès à des comptes bancaires ou des actifs financiers ;
- De cyberattaques, en particulier si les données exposées portent sur des identifiants permettant de conférer un accès à votre système informatique, vos comptes sur les réseaux sociaux (en vue de nuire à votre réputation, par exemple), ou à vos actifs financiers. Ces fuites de données sont de plus en plus fréquentes.
Il est donc essentiel pour toute entreprise de prendre des mesures pour la protection des données.
7 mesures pour protéger votre entreprise contre les fuites de données
1/Formez vos collaborateurs
Les erreurs humaines sont la cause N°1 des fuites de données.
Il est donc important de sensibiliser vos employés aux risques de fuites de données et aux dangers qu’elles peuvent poser.
Organisez régulièrement des sessions de formation pour leur enseigner les notions de base de la cybersécurité (les différents types de cyber-attaque, les risques induits par la conservation des données en entreprise et les bonnes pratiques à adopter.
Vos collaborateurs doivent apprendre à reconnaître les ruses des cyberattaquants, en particulier les attaques par hameçonnage et l’ingénierie sociale (les tentatives de phishing, spear phishing, vishing, etc.).
Vous devez également leur apprendre les bons réflexes en matière de stockage, de protection, de transmission ou de partage de données sensibles.
Ils doivent se montrer vigilants et développer des comportements plus responsables y compris à l’extérieur de l’entreprise.
Par exemple, ils doivent apprendre à ne pas éparpiller des documents confidentiels sur les plateformes de stockage de documents non sécurisées telles que Google Drive ou DropBox, et se garder d’évoquer l’entreprise sur les réseaux sociaux.
2/ Identifiez toutes les données sensibles
Dresser l’inventaire des données sensibles de votre entreprise doit être la première mesure de votre stratégie contre les fuites de données.
Toutes les données confidentielles ou importantes de l’entreprise (données personnelles, données financières, travaux de recherche, éléments de votre stratégie d’entreprise…) doivent être cataloguées et localisées pour être sécurisées.
Elles devront ensuite être couvertes autant que faire se peut par des procédures de sécurité strictes.
3/ Contrôlez l’accès et les privilèges de vos employés
Restreindre l’accès des collaborateurs aux seuls données et applicatifs dont ils ont besoin dans le cadre de leur mission constitue une étape importante de la sécurisation de vos données de vos données.
Toutes les données de l’entreprise doivent avoir été évaluées et catégorisées en fonction de leur niveau de sensibilité, comme vu au point précédent.
Avant d’attribuer des identifiants donnant l’accès à des logiciels et à des données de l’entreprise à un employé particulier, vous devez vous interroger sur les tâches qu’il doit réaliser, le périmètre des données concernées et les logiciels mis en œuvre pour ces travaux.
Seuls les utilisateurs de confiance dûment autorisés doivent pouvoir accéder aux données les plus sensibles.
C’est le principe de la politique zero trust : en réduisant les accès au strict minimum, vous réduisez les possibilités d’indiscrétion.
Cette mesure doit être assortie d’une politique stricte en matière de mots de passe, soutenue par l’emploi de l’authentification à double facteur pour éviter tout risque d’usurpation d’identité.
4/ Réduire les risques induits par les tiers
Des multinationales telles que Samsung, Toyota ou Uber ont été victimes de fuites de données liées à des vulnérabilités présentes chez l’un de leurs fournisseurs.
Vos fournisseurs détiennent des données concernant votre entreprise ; vous devez donc vous assurer qu’ils prennent des mesures de sécurité pour les protéger.
En particulier, les API, et les logiciels qu’ils utilisent pour travailler avec vous peuvent présenter des vulnérabilités et fournir une porte dérobée que des individus malveillants pourraient exploiter.
Évaluez les risques posés par vos fournisseurs et dressez la liste des logiciels utilisés des 2 côtés.
Certains outils de cybersécurité vous permettent d’attribuer une note de sécurité à chacun de vos fournisseurs.
En un coup d’œil, vous pouvez donc identifier ceux qui sont susceptibles de créer des vulnérabilités dans votre chaîne d’approvisionnement.
Assurez-vous que vos partenaires suivent une politique de sécurité stricte et qu’ils veillent en particulier au suivi des mises à jour des programmes utilisés en commun.
5/ Chiffrez toutes les données
Le chiffrement des données permet de les brouiller afin de les rendre illisibles et inexploitables sans la possession d’une clé permettant de les décrypter.
De plus en plus de logiciels proposent cette fonctionnalité et dans la mesure du possible, vous devez les préférer aux solutions qui ne l’offrent pas.
Ainsi, même si des cybercriminels parviennent à exploiter une fuite de données et à dérober des informations, ils ne pourront pas profiter de leur butin.
De même, vous pouvez utiliser des solutions de gestion des appareils mobiles à distance permettant d’effacer les données des smartphones perdus ou volés.
6/ Surveillez tous les accès au réseau
La lutte contre les fuites de données doit aussi se doubler d’une lutte contre les cyberattaques qui peuvent mener à des violations de données ou un vol de données.
Mettez en place des routines de surveillance du trafic réseau de l’entreprise. Les firewalls sont des logiciels spécialisés qui permettent d’automatiser ces tâches. Cette surveillance permettra de détecter d’éventuelles activités suspectes.
En effet, avant de déclencher une attaque informatique, les hackers effectuent des campagnes de reconnaissance : ils sondent le système informatique de l’entreprise ciblée pour évaluer son niveau de sécurité et identifier les mesures de défense qu’ils doivent neutraliser pour réaliser leur intrusion.
Vous devez aussi veiller à sécuriser les connexions aux « endpoints« . Il s’agit de tous les points d’accès distants susceptibles de communiquer avec votre réseau : postes de travail, ordinateurs portables, tablettes, smartphones, sans oublier les objets connectés.
Ceci est d’autant plus crucial si votre entreprise pratique le télétravail. En effet, dans ce cas, ces points d’accès peuvent être éparpillés géographiquement, ce qui complique leur sécurisation.
Surveillez aussi les connexions aux clouds de l’entreprise. Privilégiez l’emploi d’un VPN (réseau privé virtuel) pour les protéger.
7/ Éliminez toute faille détectée
Faites procéder régulièrement à des analyses de votre système informatique pour déceler toute faille, vulnérabilité ou bug susceptible d’offrir des opportunités à des individus malveillants.
Effectuez les mises à jour des logiciels dès qu’elles vous sont proposées, car elles contiennent souvent des “patches de sécurité”, c’est-à-dire, des correctifs permettant de remédier à des vulnérabilités fraîchement détectées dans le code de ces applicatifs.