“FIC2018”

Fuites de données : quel impact pour les entreprises ?

0

De nombreux scandales liés aux fuites de données ont marqué l’actualité ces derniers mois : on ne présente plus, par exemple, l’affaire Equifax aux millions de victimes et aux répercutions énormes que nous découvrons encore aujourd’hui, ou encore la récente affaire touchant le célèbre site internet Forever 21, pour ne citer que deux d’entre elles.

Mais Equifax, et les autres grands groupes, ne sont pas les seules structures victimes de ce genre de cyber-attaques : en effet, ce type de mésaventures peut aussi arriver aux plus petites entreprises et avoir des conséquences dramatiques pour ces dernières.

Qui plus est, ces fuites de données ne sont pas prêtes de s’arrêter. Pour évaluer l’explosion en nombre de ces menaces, il ne faut pas chercher bien loin :  le nombre de fuites de données dans les premiers six mois de 2017 éclipsaient déjà à eux seuls ceux de l’année 2016. Les entreprises, grandes ou petites, doivent donc prendre rapidement conscience de la dangerosité de ces fuites au plus vite.

Vous faisiez partie de ceux qui pensent que les données que votre entreprise ne sont pas si « touchy » et n’ont pas de vraie valeur aux yeux des hackers ? Détrompez-vous : nous parlerons ici des multiples conséquences que ces attaques peuvent avoir pour votre structure et de comment vous prémunir au mieux d’une possible fuite de données.

À mesure que nous devenons plus connectés et dépendons davantage des données dans notre vie quotidienne, les entreprises et organisations auxquelles nous faisons confiance (ainsi que nous, personnellement) devenons en parallèle plus vulnérables à de potentielles attaques. Ces fuites de données ont alors de grosses incidences pour le client/internaute mais aussi pour les entreprises qu’elles touchent, aussi bien sur un plan marketing que sur un plan financier.

  • Première conséquence : une image à redorer, une confiance à regagner

Conséquence dirons-nous « indirecte » mais pourtant très importante pour les entreprises : les fuites de données peuvent tout d’abord porter atteinte à l’image des structures ciblées. En effet, les clients touchés (ou non, d’ailleurs) par cette fuite d’informations personnelles perdront instantanément confiance en l’entreprise visée et cette confiance sera dure à regagner pour l’entreprise. Aussi, il sera difficile d’attirer de nouveaux clients. Celle-ci peut essayer de limiter les dégâts, dès le début d’une « crise » de sécurité informatique de la sorte, en la gérant de la meilleure des façons : avec réactivité et transparence, comme nous le verrons par la suite.

  • Seconde conséquence : une jolie avance donnée à la concurrence

Aussi, une fuite de données peut s’avérer être un vrai frein pour l’entreprise visée et laisser un boulevard à ses concurrents – tant au niveau des clients que l’entreprise perdra que des mois de standby que cette fuite engendrera pour l’entreprise après la fuite de données.

Si ces deux conséquences peuvent être difficiles à gérer pour une entreprise, et peuvent être, à elles seules un vrai frein voire un motif de liquidation pour certaines d’entre elles, elles ne sont rien comparées aux potentiels dommages financiers qui arriveront après cette fuite de données.

  • Impacts financiers, conséquence la plus cruelle

 S’il n’est pas toujours évident de calculer la somme exacte que coûte une fuite de données à une entreprise, il est cependant évident que ces pertes financières existent bel et bien.

Les retombées d’une fuite de données peuvent, à vrai dire, représenter un coût colossal dans certains cas avérés de fuites : si ces dommages financiers sont en partie dues aux deux premières conséquences que nous avons évoquées, il existe également d’autres explications.

Premièrement, il est à noter que l’impact financier d’une fuite de données varie selon la nature du problème ayant causé une perte. Celle-ci peut être due à erreur humaine, une panne du système ou encore, pour la plus coûteuse, à une cyberattaque.

Aussi, conséquence directe d’une fuite de données, l’entreprise se verra punie par des sanctions juridiques (et financières) issues des règlements de protection de données personnelles de chaque individu. D’ailleurs, le RGPD qui sera mis en place dès mai 2018, prévoit des amendes encore plus lourdes que les législations aujourd’hui mises en place. Ce nouveau règlement prévoit en effet des sanctions financières pouvant aller jusqu’à 4 % du chiffre d’affaires mondial ou à 20 millions d’euros (selon le montant le plus élevé).

Pour de nombreuses entreprises, le simple fait d’être frappé de telles amendes les mettra inévitablement en danger de fermeture.

Pour vous préparer au mieux à ce nouveau règlement et aux nouvelles législations qui en découlent, il est utile de savoir qu’ITrust peut vous proposer des formations afin de vous permettre de faire le point sur les nouvelles règles et de lancer la mise en conformité au plus tôt dans votre organisme.

Enfin, celles-ci devront prendre en compte les conséquences directes dues à la perte de certains de leurs clients et au ralentissement de la productivité de leur entreprise, mais aussi certaines conséquences indirectes : prenons, là encore, l’exemple d’Equifax, qui a dû ajouter à ses pertes financières directes, le coût de ses multiples enquêtes d’investigations, les coûts résultant de poursuites judiciaires et mises à jour au niveau de leur panel de sécurité informatique.

  • Comment réagir face à une fuite de données ?

Le fait que de telles grandes entreprises aient subi des fuites aux conséquences financières importantes a amené de nombreuses entreprises à se demander comment améliorer leurs propres pratiques de sécurité et comment elles réagiraient face à ce type d’évènement. Voici quelques conseils pour vous accompagner au mieux à vous prémunir de ces fuites et à réagir en conséquence.

1) Evaluez les risques

Auditez si nécessaire votre infrastructure pour en détecter au mieux ses vulnérabilités, et les corriger au plus vite.

2) Sécurisez votre infrastructure à la vue des résultats de cette évaluation

Installez des solutions de sécurité informatique appropriées, tout en effectuant les mises à jour nécessaires. Aussi, pensez à bien sauvegarder vos données : ces sauvegardes vous permettront de vous prémunir de toute possibilité de fuite de données, qu’elles soient issues d’une erreur humaine ou d’une attaque.

3) Adoptez le chiffrement et assurez une traçabilité de vos données 

 Les données doivent être chiffrées tout au long de leur cycle de « vie », aussi bien lorsqu’elles seront transférées que lorsqu’elles seront stockées : aussi, il est essentiel de garder la maîtrise des accès et des actions effectuées afin de garantir une traçabilité optimale.

 4) Préparez-vous à gérer une crise de sécurité informatique, en conditions réelles 

Supposez qu’une faille se produise, et analyser la gestion de cet évènement. Veillez à ce que votre équipe, les processus et la stratégie soient opérationnels.

5) Sensibilisez vos équipes

Votre entreprise doit informer vos salariés sur les menaces de sécurité informatique de ce type. Ils seront vos meilleurs ambassadeurs pour sensibiliser l’ensemble de l’écosystème de votre entreprise. De même, il est important que chacun prenne conscience des risques encourus en imprimant des fichiers, en ouvrant des mails et téléchargeant des pièces-jointes, en transportant des documents sensibles, en échangeant des données confidentielles par des moyens de communication non sécurisés ou en travaillant dans une situation de mobilité.

 6) En cas de faille avérée, évitez les erreurs de communication envers vos clients :

Communiquez clairement quand une faille se produit (le RGPD vous imposera bientôt de communiquer cette faille à vos clients sous 72 heures), en déclarant les connus et les inconnus de cette faille de manière transparente. Les spéculations quant à cette vulnérabilité pourraient nuire à la réputation de votre entreprise si vous ne le faites pas.

Les récentes affaires de failles de données devraient avertir et pousser toute entreprise à améliorer sa sécurité informatique. Même si ces entreprises s’équipent d’un bon panel de solutions en sécurité informatique, et si l’arrivée du RGPD facilitera cette amélioration et assurera une meilleure protection des données sur internet, il leur faudra redoubler de vigilance face à ce type de menaces, et se préparer au mieux à les gérer, sans s’en sentir immunisé.

Il est tout de même à noter que de plus en plus d’entreprises sont prêtes à investir pour se protéger pro activement des menaces de cybersécurité (dont font partie les failles de données). Nous verrons probablement (espérons-le), qu’en adoptant les meilleures pratiques de sécurité informatique possibles, que ces menaces deviendront de moins en moins courantes au fil des ans.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply