En France, 9 entreprises sur 10 sont touchées chaque année par des cyberattaques ou tentatives de cyberattaques. Près de 2 ans après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les menaces sur la sécurité des organisations sont toujours aussi importantes. À l’ère du numérique, la protection des données comme capital intangible des entreprises s’est donc imposé comme un enjeu majeur pour ces dernières. Comment sécuriser vos données personnelles, et ainsi se prémunir contre le piratage de données ?
Petite revue de bonnes pratiques à appliquer sans attendre :
C’est sans doute l’un des points les plus importants, et pourtant les organisations n’en sont pas toujours conscientes. Pourtant, la sensibilisation des collaborateurs sur la nécessité de protéger ses données personnelles, ainsi que sur les risques éventuels de piratage peut s’avérer un outil particulièrement efficace. Pour cela, ces derniers doivent être tenus régulièrement informés des gestes et bonnes pratiques à adopter pour assurer la protection des données de l’entreprise.
Le service informatique doit ainsi jouer un rôle important de prévention et de communication, en publiant par exemple un guide des bonnes pratiques à mettre en œuvre, qu’il conviendra ensuite de mettre régulièrement à jour. Des formations peuvent également être proposées aux salariés pour les sensibiliser aux enjeux de sécurité numériques. A ce titre, le MOOC de l’ANSSI est très bien conçu. Une attestation de réussite est délivrée à chaque participant.
Pour les entreprises, il est essentiel de renforcer la protection des données et de limiter l’accès aux informations confidentielles par la mise en place de moyens de contrôle. Ceux-ci peuvent consister en l’utilisation de logiciels de cryptage, ou de mesures d’authentification renforcées.
En plus des contrôles d’accès et de surveillance mis en place par les entreprises, les contrôles de données permettront également d’analyser, de signaler et de bloquer les actions impliquant des données sensibles (téléchargements de logiciels, envoi d’e-mails, etc.
La supervision des données vient en complément du contrôle d’accès. Elle permet de signaler et de bloquer en temps réel les activités jugées comme risquées ou malveillantes. Les services financiers peuvent par exemple utiliser cette supervision pour bloquer des actions spécifiques impliquant des données sensibles : téléchargement de données sur le Web, envoi d’e-mails non autorisés, ou copie sur des disques externes ou impression. L’identification et la classification des données selon leur niveau de sensibilité permet d’apporter un niveau de protection approprié.
Prudence est mère de sûreté. Les entreprises doivent donc pouvoir contrôler les informations et applications auxquelles accèdent leurs salariés, ainsi que les appareils à partir desquels ils y accèdent. Le regroupement et la consignation de ces données peuvent être utilisés à des fins d’évaluation des risques, et permettre d’analyser les points de vulnérabilités de l’entreprise ainsi que les mesures les plus appropriées pour y répondre.
Chiffrer ses données consiste à les rendre illisibles sauf si une action est entreprise pour en autoriser l’accès. Autrement dit, le chiffrement permet de transformer une donnée qui peut être lue par n’importe qui, en une donnée protégée qui ne peut être lue que par son émetteur et son destinataire. Un must pour protéger vos données. Pour cela, on peut notamment utiliser des logiciels de cryptage qui permettent de chiffrer des données précises, ou bien recourir à l’anonymisation ou à l’utilisation de pseudonymes.
Les appareils mobiles abritent de nombreuses données privées. Pour en garantir la sécurité, il convient d’adopter quelques réflexes. Par exemple, le verrouillage de son appareil, via un schéma, un code PIN (pas trop simple, ni choisi par défaut) ou ses empreintes digitales. Créer des mots de passe complexes et différents, en s’aidant d’un gestionnaire qui permet de générer des mots de passe complexes et de les stocker en toute sécurité, est également un réflexe à adopter. Enfin, on peut activer la double authentification, essentielle pour sécuriser correctement des comptes contenant notamment des données professionnelles. Cette double authentification ajoute, en plus du mot de passe, une nouvelle étape d’authentification, comme l’utilisation d’une clé de sécurité ou toute autre demande de confirmation d’identité.
L’Internet des objets (IoT), particulièrement vulnérable aux attaques, doit impérativement être sécurisé. Trois principaux types de menaces peuvent en effet être recensés : les attaques contre un appareil connecté, les attaques contre la communication entre les appareils et les maîtres d’opération, et les attaques contre les maîtres d’opération.
Ainsi, il est essentiel que les données confidentielles transmises par l’environnement IoT soient chiffrées pour éviter toute interception. De la même façon, les données stockées par les objets connectés doivent être chiffrées pour se prémunir contre d’éventuels piratages.
Évaluer les risques de manière régulière est la clé d’une protection efficace des données. On détermine en général le risque à l’aide des trois facteurs suivants : nature de la menace, vulnérabilité du système et importance de l’actif (ici, les données personnelles) qui pourrait être perdu. Ainsi, si votre système réseau est très vulnérable et que l’actif qu’il héberge est particulièrement important, votre risque est élevé. Il convient donc d’identifier et de lister, par ordre de priorité, l’actif en votre possession, puis d’identifier les menaces potentielles. Mais aussi de repérer les vulnérabilités de votre réseau, d’analyser les contrôles mis en place et d’évaluer l’impact potentiel d’une menace sur votre actif. Ainsi, en vous basant sur votre niveau de risque, vous pourrez déterminer les mesures qu’il reste à mettre en place ou à renforcer. Cette évaluation doit être exercée de manière régulière, afin d’en garantir l’efficacité.
Il est particulièrement important de prévoir des systèmes de sauvegarde de données. Ceux-ci n’empêcheront pas d’éventuels piratages, mais ils permettront néanmoins d’assurer la conservation des données et la mise en lieu sûr de ces dernières. A cet égard, deux principaux outils peuvent être mis en œuvre : la sauvegarde externe, et la restauration. La sauvegarde externe, comme son nom l’indique, permet de sauvegarder des données sur des serveurs externes, c’est à dire hébergés dans des centres de données sécurisés. Afin d’assurer sa conformité au règlement RGPD, la solution de sauvegarde externe devra assurer un chiffrement des données et être hébergée en France. Quant à la restauration, elle permet de parer aux éventuelles erreurs de manipulation et autres accidents humains. Il convient donc de mettre en place un système de restauration dans l’entreprise et de le mettre à jour régulièrement.
De nombreux systèmes utilisés au quotidien dans l’entreprise sont susceptibles d’enregistrer des informations sur l’utilisateur (préférences, requêtes, coordonnées géographiques, temps de connexion…). Une fois regroupées et traitées dans des bases de données, ces informations a priori inoffensives peuvent prendre un caractère stratégique et/ou significatif, et être utilisées à mauvais escient. D’où l’importance pour votre entreprise de tracer l’utilisation qui est faite de vos données (que ce soit par vos partenaires commerciaux ou toute autre entité), notamment en mettant en place des systèmes de contrôle renforcés.
Pour conclure, sécuriser vos données en 2023 est un enjeu majeur.