2016 enregistre des résultats record en termes de failles et de violations d’informations sensibles. Au total, près de 1 792 incidents ont été constatés et sont responsables de la perte de 1,4 milliards de données [1]. Entre le piratage de la campagne présidentielle d’Emmanuel Macron, l’épisode de Phishing sur Google Docs et les attaques de rançongiciel WannaCry et NotPetya, peu sont les secteurs qui ont été épargnés.
Ces événements ont contribué à la sensibilisation des responsables sécurité et des utilisateurs finaux aux risques auxquels les données sont exposées. Les entreprises comprennent désormais l’importance de mettre en place des solutions de sécurité efficaces et la nécessité de former davantage les employés aux risques éventuels.
Le chiffrement gagne en popularité grâce à sa capacité à rendre les données volées inutilisables à quiconque n’ayant pas été autorisé à y accéder. Lorsqu’elles envisagent de chiffrer leurs données, les entreprises doivent d’abord comprendre le type de données qu’elles produisent ou qu’elles gèrent, et identifier celles qui sont les plus sensibles et les plus convoitées. Seule la compréhension des caractéristiques et des attributs de ces dernières peut leur permettre d’avancer dans une démarche vertueuse.
Le chiffrement est donc un bon moyen de protéger les données et nécessite de le faire avec rigueur et méthode.
Dans un environnement de plus en plus hybride, une des solutions au contrôle des données chiffrées, est l’implémentation d’une stratégie de gestion des clés de chiffrement.
Les clés de chiffrement sont essentielles pour débloquer des données sécurisées. Elles assurent un contrôle nécessaire des accès à ces dernières, et permettent ainsi aux entreprises, et surtout aux clients, d’être maîtres de leurs propres données. La meilleure approche est de stocker ces clés de chiffrement dans du matériel informatique spécialement conçu à cet effet pour empêcher tout piratage. Sinon, cela revient à équiper sa maison avec une solution hautement sécurisée et mettre la clé de la porte d’entrée sous le paillasson, la laissant ainsi accessible à n’importe quelle personne mal intentionnée.
La confiance client, au centre du débat
Au-delà du risque financier, clairement expliqué dans le Règlement Général sur la Protection des Données (RGPD), si des solutions de protection des données ne sont pas mises en place, les entreprises exposent leur réputation, leur image de marque et compromettent une relation de confiance avec leurs clients acquise parfois de longue haleine.
Plus que jamais, les clients commencent à comprendre les dangers liés au partage et à l’hébergement de données en ligne. Selon une étude réalisée par le CXP auprès d’entreprises en France sur la cyber-conformité, 51% des personnes interviewées considèrent que les projets de mise en conformité contribuent à soigner la perception extérieure que les clients ont de leur entreprise.
Jusqu’à ce que le RGPD entre en vigueur en mai 2018, les entreprises européennes ne sont pas tenues de révéler les pertes de données subies. Cette absence d’information rend difficile l’évaluation du coût véritable d’une faille en Europe et l’impact possible sur la confiance des clients concernés. Il y a quelques années encore, il était rare pour une entreprise d’être impliquée publiquement dans de tels problèmes. C’est désormais une réalité pour un très grand nombre d’organisations et le RGPD devrait réveiller les consciences sur les conséquences possibles ainsi que les moyens à mettre en œuvre pour éviter les pertes de données.
La gestion des accès, un aspect incontournable
Pour renforcer leur politique de sécurité, il est recommandé aux entreprises de revoir plus précisément les moyens d’accéder aux données sensibles à forte valeur. Le chiffrement est souvent présenté comme un moyen de protection efficace et doit être associé à une réelle stratégie globale de protection des accès aux données chiffrées. La meilleure approche est l’adoption de l’authentification forte qui requiert l’utilisation simultanée d’au moins deux facteurs d’identification. Pour remplacer le traditionnel tandem identifiant / mot de passe facile à subtiliser, l’utilisateur doit être en possession d’une part, d’un dispositif spécifique (téléphone, token USB, email, etc.) et d’autre part d’un code ou un mot de passe qui se renouvelle en permanence. De plus en plus d’entreprises ont désormais recours à ce type de sécurité, mais la généralisation de ces solutions reste à venir
Responsabiliser chacun, un enjeu majeur
Le RGPD entrera en vigueur dans moins d’un an. Les échéances sont donc clairement identifiées ainsi que la responsabilité portée par les détenteurs des données.
C’est donc maintenant que les entreprises doivent s’y préparer avant d’être impactées financièrement ou que leur réputation ne soit compromise.
Il reste à accélérer le mouvement pour que les entreprises prennent pleinement conscience des conséquences liées à un défaut de conformité et aux pertes de données sensibles.
A cet effet, la sensibilisation et la protection des données doivent être intégrées à la culture d’entreprise et faire l’objet de formations et de cessions d’information régulières pour l’ensemble des salariés et du management.
Au-delà de la contribution des services Informatiques, la sécurité des données est l’affaire de tous et de toutes. Elle doit être également prise en compte en amont dans l’innovation et le développement de nouveaux services ou de nouvelles solutions par l’entreprise. Cette démarche vertueuse permettra aux acteurs d’être en conformité à moindre coût avec les dernières réglementations.
[1] Gemalto, Breach Level Index 2016