Depuis quelques années, les entreprises sont plus que jamais la cible d’attaques de vol de données. Cela peut concerner de grandes structures (on peut penser à l’attaque d’Uber en 2022), comme de petites entreprises. En effet, celles-ci, bien que souvent moins riches en information, sont plus simples à compromettre.
Un vol de données peut se faire par plusieurs biais :
- Phishing
C’est l’un des plus populaires actuellement, et il continue de se développer de plus en plus avec l’IA et l’usurpation d’identité. Cela peut se faire par des messages, ou des faux documents imitant la charte graphique de l’entreprise. - Malware
Il ne faut pas négliger les malwares, qui continuent de se déployer de plus en plus. Ici également, l’IA peut clairement aider au déploiement et l’usage de ce genre de logiciel malveillant, en rendant visuellement l’application la plus « inoffensive » possible.
Au total, ce sont plus de 353 millions de personnes qui ont été touchées par des fuites de données signalées en 2023, aux États-Unis . Ne négligeons pas celles qui n’ont pas été signalé… En 2023, IBM affirme que le coût moyen d’un vol de données pour une entreprise s’élève à un prix d’environ 4,5 millions de dollars. Nous allons étudier ensemble pourquoi, et comment ce coût se caractérise.
La remédiation
Après avoir constaté un vol de données, il est nécessaire de vite réagir, en déterminant la nature du vol (données des salariées, secrets de fabrication, business), ainsi que la façon dont cela s’est produit. De cela, il est alors possible d’établir un plan pour endiguer cette violation.
Cependant, cette étape peut correspondre à un coût conséquent : Appel d’équipe spécialisée dans un contexte de crise cyber, arrêt possible du business de l’entreprise le temps que la situation soit stabilisée…
Également, il est nécessaire de penser à « l’après-attaque » ; en ayant appris de celle-ci, mettre en place de nouvelles mesures de sécurité est un nouveau paradigme concernant la protection des données. Quand cette étape a lieu après un imprévu (ou qu’elle n’est tout simplement pas anticipée), elle peut vite être extrêmement coûteuse.
L’usage des données par l’attaquant
Il est également nécessaire de bien étudier quelles données ont été volées. En effet, si elles concernent le business de l’entreprise, des secrets de fabrication, des méthodes de fonctionnement, celles-ci ont un risque important de se retrouver en vente sur Internet. Cela implique indirectement un impact business majeur : des entreprises concurrentes peuvent comprendre votre fonctionnement et s’adapter en fonction. Ou encore, un savoir-faire unique que vous possédez, qui se retrouve à la merci de tous.
Aussi, il ne faut pas négliger que, si ces données n’apparaissent pas directement après le vol, il est complétement possible (voire probable) de les voir ressurgir à l’avenir. Par exemple, réaliser plusieurs années après du phishing avec des informations volées, le temps que la « tempête » soit passé. Cela peut être dévastateur et toucher une nouvelle fois votre entreprise.
Les conséquences juridiques
Si les différentes lois sur la protection des données ne sont pas respectées par l’entreprise qui a subi un vol de données, l’entreprise peut être poursuivi en justice par les individus ayant subi ce vol de données.
Pour cela, en Europe, il est indispensable de suivre les mesures du RGPD sur la protection de données. Aussi à partir du 17 octobre 2024, les Etats membres de l’Union Européenne devront se plier aux règles de la directive NIS 2. Cette directive, entrée en vigueur en 2022, doit être appliquée au plus vite, pour protéger ses données, mais aussi en cas d’attaque.
Assurément, parfois, certaines attaques passent au travers des protections mises en place, cela malgré le respect de la directive et du RGPD. Mais, cela protège des dépenses juridiques et autres amendes en cas d’attaque réussite. A titre indicatif, en France, les responsables de ces données peuvent être punis par la Commission Nationale de l'Informatique et des Libertés (CNIL) pouvant s’élever jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise.
A noter qu’en cas de fuite de données à caractère personnel, le responsable des données est généralement le chef d’entreprise. C’est particulièrement le cas dans de petites et moyennes structures. En revanche, cette responsabilité peut être déléguée au DRH, ou au DSI, dans des structures où la taille de celle-ci ne permet pas au chef d’entreprise une surveillance maitrisée.
La perte de compétitivité et de réputation
Après un vol de données, l’entreprise peut garder pendant des mois une image entachée. Les clients, et partenaires de business, peuvent refuser de travailler de nouveau avec l’entreprise. Assurément, après un vol de données, l’entreprise investi du temps et de l’argent spécifiquement à cause de l’attaque, son indice de compétitivité diminue intrinsèquement.
De même, cela peut inquiéter les partenaires à travailler avec cette entreprise, par peur que leurs données aient été récupéré. Aussi, il peut y avoir la crainte que la remédiation n’ait pas été totalement effective, ou tout simplement que cela se reproduise. En bref, l’indice de confiance se réduit également.
Cela entraine des coûts cachés majeurs, qui sont difficiles à quantifier tant cela dépend de l’état de l’entreprise avant le vol, ainsi que sa réussite dans l’étape de remédiation.
Comment éviter les vols de données ?
Pour éviter un vol de données, les entreprises doivent prendre des mesures pour se protéger contre ces attaques. Voici une liste non exhaustive de mesures recommandées :
- Être en conformité
Comme expliqué précédemment, il est désormais nécessaire de se conformer aux réglementations en matière de protection de données, telles que le RGPD et le NIS 2 (en Europe), afin d’éviter les sanctions juridiques et financière. Cela comprend la mise en place de mesures pour protéger les données personnelles, bien sûr, mais aussi la notification rapide des violations de données aux autorités compétentes.
Pour cela il est nécessaire de réaliser une évaluation des risques de votre organisation, pour établir une politique de sécurité complète en fonction des risques identifiés. La direction de votre direction doit être impliquée, car la directive NIS 2 introduit la notion de responsabilité de la direction pour la sécurité. - Former les collaborateurs
Il est toujours bon de rappeler que l’erreur humaine est liée à 80 % des cas de cyberattaques. Il est donc indispensable de former ses collaborateurs sur le phishing et autres erreurs possibles sur internet. Pour cela, il est recommandé de réaliser régulièrement des campagnes de phishing, permettant de tester le niveau de connaissance des salariés en cybersécurité. Selon les résultats, il est ainsi plus facile de réaliser des formations adaptées au besoin. - Mettre en place des solutions de sécurité solides
Également, il est indispensable de mettre en place des mesures de sécurité solides : politique de mot de passe robuste, gestion des supports amovibles maitrisé, antivirus et firewall mis en place, mises à jour régulières des logiciels, notamment ceux de sécurité. - Utiliser un service SOC Managé
Souvent, les petites et moyennes structures n’ont pas le temps ni les moyens d’eux-mêmes mettre en place un SOC (Security Operations Center) pour contrôler, surveiller et analyser la sécurité des informations de leur entreprise. Pour cela, il est possible de passer par un service SOC Managé ; il s’agit d’un SOC délégué à une entreprise dédiée pour ce type de service. Il s’agit d’une solution plus économique, car permet d’éviter à la structure d’investir dans du matériel et du personnel de sécurité au sein même de l’entreprise. - Identification et classification des données sensibles
Il est fortement recommandé de classifier vos données au sein d’une entreprise, afin d’établir différents périmètres de sécurité en fonction du besoin et de la sécurité. Par exemple, certaines données peuvent être situés sur des clouds sécurisés, ou sur des supports dans un lieu spécifique, sécurisé. Également, la classification des données permet de définir qui peut y accéder au sein de l’organisation, et ainsi limiter les facteurs de compromission.
Conclusion
Un vol de données peut se répercuter sur bien des aspects pour une entreprise ; pas seulement sur le système d’information compromis, mais également sur les aspects commerciaux, juridiques, et humaines au sein de l’entreprise. C’est pour cela qu’il est vivement recommandé de suivre les recommandations indiquées plus haut, pour limiter le risque de compromission.