Données sensibles : assurez la sécurité de votre patrimoine informationnel

La cybercriminalité. Toutes les entreprises sont des cibles potentielles. Ce problème concerne aujourd’hui deux entreprises sur trois en France. En 2015, le coût de la réparation de ces attaques informatiques a dépassé les 3 milliards d’euros. Et la situation ne semble pas aller en s’améliorant. Alors, pour éviter au maximum de perdre des données sensibles, les entreprises doivent s’organiser. D’autant que certaines mesures de protection sont à la portée de tous les budgets et ne nécessitent pas de connaissances techniques très poussées.

Les entreprises détiennent de nombreuses informations ayant une grande valeur économique et stratégique. Ce capital immatériel doit être protéger à tout prix. En effet, la divulgation ou l’usage non autorisé de ces données sensibles peut avoir des conséquences graves pour une entreprise.

Données sensibles : de quoi parle-t-on ?

Les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Cette définition des données sensibles proposée par la CNIL concerne l’individu, la personne physique. Pour une entreprise, les données dites sensible sont d’une autre nature. Ces données sont d’une valeur inestimable. Ces données sensibles peuvent être de différentes natures :

• Informations techniques et technico-commerciales (méthodes de conception, plans, prototypes, savoir-faire, etc)
• Informations commerciales (fichiers clients, fichiers fournisseurs, résultats d’enquêtes marketing, etc)
• Informations économiques et financières (propositions commerciales, montage financier, assurances, etc)
• Informations stratégiques et organisationnelles (projets de recrutement, synthèses résultant de la veille stratégique et technologique, etc).

D’après la seconde édition de l’étude RSA Cyber Security Property Index, 75% des entreprises s’estiment très vulnérables aux cyberattaques (phishing, ransomwares…). Elles reconnaissent cependant que « leur investissement dans les technologies de détection et d’intervention leurs permettraient de mieux se défendre que les solutions basées sur des périmètres spécifiques ». Cette même étude montre que les entreprises ayant été touchées par des incidents de sécurité se révèlent plus matures et font évoluer leur culture de la sécurité.

Protection des données sensibles : quelles solutions ?

Sécuriser tous les accès

Selon un rapport Forbes-BMC, 80% des hackers exploitent des failles connues pour lesquelles il existe un correctif publié et disponible. Il est rare que les pirates informatiques exploitent des failles complexes et non référencées. D’où la nécessité pour une entreprise de toujours faire les mises  à jour de son système d’exploitation, de ses applications, des frameworks. Et bien sûr d’installer un antivirus, un pare-feu, un anti-spam… Tout ce qui pourra limiter les intrusions. Pour être protégé, le service IT doit sécuriser son réseau et ainsi éviter d’exposer un volume colossal de données sensibles et primordiales pour la suite de ses activités.

Il faut également garder à l’esprit qu’une attaque informatique n’est pas toujours orchestrée depuis l’autre bout du monde. Le « social engineering » est également à l’origine de nombreuses attaques. Ce piratage ne nécessite aucune compétence technique. Une personne mal intentionnée n’aura besoin que d’un uniforme de réparateur et d’une boîte à outil pour accéder au local technique d’une entreprise.  « Nous appelons ça les attaques femme de ménage et cela permet de prendre le contrôle d’un serveur en 5 secondes », explique Eric Filiol, expert en sécurité informatique. Sans devenir méfiant, il est préférable d’être attentif aux allées et venues dans les locaux d’une entreprise.

 Tous concernés

Une protection optimale passe notamment par l’implication de l’ensemble des collaborateurs. Chacun doit être sensibilisé à cette problématique pour éviter les attaques. Un rappel régulier des règles de sécurité à adopter lors du téléchargement d’une pièce jointe, d’une application ou lors de la diffusion d’informations à une personne externe à l’entreprise est toujours utile. Il peut être utile de rédiger une Charte de sécurité informatique. Elle permet à chaque collaborateur de prendre conscience de l’importance de l’intégrité des données qu’il traite.

Se protéger passe également par des actions très simples comme des changements de mot de passe réguliers. Et ces mots de passe doivent être le plus complexes possible. Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’information), un bon mot de passe doit comporter au moins 12 caractères dont des chiffres et des caractères spéciaux comme & ou £.

 Toujours sauvegarder

Les effets d’une attaque informatique peuvent être désastreux sur l’activité d’une entreprise. Les données sont corrompues, inaccessibles, voire détruites. Un ransomware par exemple permet à un hacker de verrouiller un ordinateur à distance. Une sauvegarde régulière ou automatisée des données sensibles est essentielle pour reprendre une activité normale le plus vite possible après une attaque informatique. C’est une règle de bon sens qui est pourtant souvent oubliée. Avant tout, l’entreprise doit savoir où se trouvent ses données. Sur un serveur centralisé en local ? Dans les disques durs de chaque poste de travail ? Dans un data center ?

L’entreprise doit absolument avoir la maîtrise de l’intégralité de ses données. Une bonne solution de sauvegarde permettra à une entreprise de reprendre rapidement ses activités suite à une attaque. Avec une sauvegarde isolée du réseau de l’entreprise, les données sont stockées en lieu sûr. En cas de perte, le département IT pourra tout récupérer facilement.

 Rendre vos données sensibles sensibles illisibles pour les hackers

Si une entreprise n’a pas su éviter une intrusion dans son système et le vol de ses données sensibles, rendre ces informations illisibles pour les hackers limite l’impact d’une telle attaque. Grâce au chiffrement des données, le contenu d’un document, d’une messagerie ou d’un terminal deviennent inutiles pour un hacker. Il ne sera pas en mesure de les déchiffrer. Il existe des solutions applicatives qui permettent aux entreprises de conserver et d’utiliser leurs données tout en leur garantissant un haut niveau de sécurité grâce au chiffrement.

 Prendre les précautions nécessaires en fonction de ses moyens

Les incidents de cybersécurité ont augmenté de 51% au cours des 12 derniers mois en France. De 32.5 millions en 2013, ces attaques sont passées à 48 millions en 2014 pour atteindre 66 millions en 2015 (Source : Conscio).

Il est donc nécessaire pour une entreprise de se protéger, et notamment ses données sensibles. Mais mettre en place des  infrastructures en interne et les protéger soi-même peut s’avérer difficile et coûteux, notamment pour une petite structure. Sécuriser un serveur de fichier en interne,  qui contient les données les plus précieuses de l’entreprise, devient de plus en plus difficile face à la montée des cyberattaques, et n’est pas forcément la meilleure solution pour une TPE ou une PME.  Pour qu’elle garantisse la sécurité de ses données sensibles, elle pourra se tourner vers une solution Cloud sécurisée, synonyme de souplesse et de maîtrise des coûts. Elle devra choisir un prestataire certifié, dont l’expertise sur son secteur d’activité lui permettra  de qualifier son besoin réel et d’identifier les potentiels d’amélioration.