Comment se protéger contre les fuites de données?

Share this post:

Le Règlement Général sur la Protection des Données (RGPD) ne fait pas de cadeaux aux entreprises. Toute négligence en matière de protection est sévèrement condamnée, qu’il s’agisse de grandes sociétés ou de petites entreprises. La protection des données passe par un contrôle de l’accès aux informations, l’utilisation de solutions de DLP (Data Loss Prevention), une veille active et une sensibilisation des utilisateurs.

Le RGPD, un signal fort pour les entreprises

Avec l’arrivée du RGPD, les entreprises doivent notifier toute fuite de données, sous peine d’amendes pouvant atteindre 20 millions d’euros ou 4% de leur chiffre d’affaires mondial annuel. En plus de la notion d’éthique relative au traitement des données à caractère personnel, ces amendes très dissuasives poussent les entreprises à se mettre en conformité.

Mais qu’est-ce qu’une fuite de données ? Il s’agit d’un incident de sécurité-ou violation de données à caractère personnel comme défini dans le RGPD -dont la conséquence est la fuite,intentionnelle ou non,d’informations sensibles. Citons quelques exemples typiques:

-Lors de la transmission par mail d’un rapport financier aux clients et actionnaires, le responsable financier d’une entreprise met par erreur dans la boucle une personne tierce, ou se trompe de destinataire au moment de l’envoi.

-Au cours d’un déplacement professionnel, l’ordinateur portable d’un collaborateur contenant des données confidentielles est volé ou perdu.

-Un salarié en mauvais termes avec son employeur subtilise et fait fuiter volontairement des données stratégiques.

-Un attaquant extérieur utilise des failles de sécurité ou des techniques d’ingénierie sociale pour exfiltrer des données.

Le vol de données a le vent en poupe. Données business, de santé, personnelles, financières, militaires, académiques, etc. Toutes ont une valeur importante. Une fois subtilisées, elles pourront être exploitées ou revendues.

Les pirates ont l’embarras du choix quant au mode d’attaque à utiliser : vol d’identifiants permettant de se connecter à des systèmes sensibles;découverte de mots de passe non renouvelés ou trop faibles;ordinateurs compromis du fait de mises à jour non appliquées…

Comment se protéger ?

La première étape,essentielle,est de comprendre le pourquoi et le comment des fuites de données, afin de s’en prémunir. Cette phase de sensibilisation ne doit toutefois pas faire oublier qu’une fuite de données restera toujours possible, quels que soient les efforts consentis et les mécanismes de sécurité mis en place.Afin de mieux contrôler l’accès aux données critiques, il convient de déterminer où elles se trouvent et comment elles sont stockées. Il faut aussi savoir comment l’accès à ces données est protégé. Enfin, si ces données venaient à fuiter, il est indispensable d’évaluer les conséquences potentielles pour l’entreprise.Une fois ce travail d’inventaire terminé,un ensemble de mesures peut être mis en œuvre :

1 –Contrôle des accès

Il faut ici répondre au qui («qui peut accéder aux données ? ») quand («quand peut-on y accéder ? ») et quoi («quel type de données est accessible ? »). Le «où» («d’où peut-on accéder aux données ?») peut également faire partie des critères à prendre en compte. Une authentification multifacteur renforcera le contrôle des identités et une revue des habilitations devra être opérée à intervalles réguliers. Il faut tenir compte du fait qu’une personne habilitée à accéder aux données sensibles peut être à l’origine de cette fuite de données-c’est pour cela que le contrôle des accès est primordial.

2–Gestion des données

La mise en place d’une solution de DLP  préviendra la fuite d’informations en appliquant des politiques strictes de contrôle des e-mails ou de tout type de données sensibles qui quittent l’entreprise. Le chiffrement des données répondra pour sa part au risque de vol ou de perte d’un terminal mobile. Le poste de travail se doit également d’être parfaitement sécurisé: application des correctifs de sécurité, mise en place d’un antivirus, configuration du pare-feu.

3–Veille technologique et sensibilisation

La veille technologique permet de repérer de nouveaux scénarios et d’en informer les équipes métiers au plus tôt. La sensibilisation des utilisateurs limitera les risques de fuites non intentionnelles. Notez que la sensibilisation des équipes métiers sera plus efficace si elles sont mises en situation, au travers par exemple de faux mails piégés envoyés par la DSI. Dans ce cas, il est intéressant de mettre en place des situations différentes par types de métiers pour les confronter à leurs habitudes.

4 –Organisation d’exercices de fuites de données

Pour tester le plan d’action défini par les équipes informatiques, des tests en conditions réelles sont requis. En effet, plus les équipes IT réagissent rapidement, plus elles auront de chance de contenir la fuite de données à un périmètre limité.

Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées. Il est donc important d’organiser ces exercices.

D’autres questions devront être posées. Les sources de données secondaires, comme les sauvegardes ou l’archivage, sont-elles protégées ? Les actifs Cloud sont-ils sécurisés ? Les sous-traitants appliquent-ils eux aussi les règles nécessaires ? Les terminaux mobiles appartenant aux employés (le Bring Your Own Device) sont-ils pris en compte dans la politique de sécurité ? À toutes les étapes, il est crucial de savoir prendre de la hauteur afin de dépasser le périmètre traditionnel du système d’information de l’entreprise.