Abonnez-vous gratuitement à Decideo !


Decideo

 


Data leaks : l’humain au cœur de la fuite de données


Rédigé par David Boucher, Hub One le 24 Mai 2018

Le nombre grandissant de fuites de données auxquelles sont confrontées les entreprises focalise l’attention sur la cybersécurité et les différents verrous technologiques. Cependant, la sensibilisation des collaborateurs reste un des premiers remparts pour contrer ces data leaks.



David Boucher, Directeur Cybersécurité de Hub One
David Boucher, Directeur Cybersécurité de Hub One
Quel est le point commun entre Uber, Yahoo ou encore Sony et son service Playstation Network ? Toutes ces multinationales se sont récemment fait pirater des données confidentielles relatives à leurs clients (noms, prénoms, adresses emails voire coordonnées bancaires), et ce à grande échelle.

Du fait de leur ampleur, ces exemples de cybercriminalité ont fait la une des journaux et ont mis en lumière la nécessité de protéger ces données contre les hackers ou les groupes malveillants cherchant à monnayer les informations provenant de ces vols.

Ce type de piratage peut être mené depuis l’extérieur mais aussi par des salariés au sein même de l’entreprise (appelés les « insiders ») qui, par inadvertance ou de façon délibérée, font sortir de l’entreprise des données auxquelles ils ont accès. Pour se faire, il n’est pas forcément nécessaire de mettre en œuvre des moyens importants et complexes : le transfert de fichiers via l’application Dropbox ou via une clé USB par exemple peut entraîner la mise à disposition d’un volume important d’informations sensibles à des personnes mal intentionnées, tout en échappant au contrôle des équipes de gestion des systèmes d’information.

Cloisonnement de l’information


Les fuites de données ne se produisent pas uniquement au sein de l’environnement numérique. Dans de nombreuses organisations, il n’est pas rare que des données sensibles en version papier soient exposées aux yeux de tous : un contrat oublié sur une imprimante, un devis mis à la poubelle sans précaution ou encore un document confidentiel insuffisamment sécurisé.

Pour limiter les risques, tant sur les documents physiques que numériques, un facteur est trop souvent oublié : celui de l’humain. D’où la nécessité de sensibiliser des équipes à cet enjeu. Mettre en place un système de classification de la sensibilité de l’information, par exemple en définissant des niveaux de sécurisation, représente une première étape. Les documents peuvent avoir différents niveaux de sensibilité : public, diffusion limitée, confidentiel industrie, confidentiel…

Chaque entreprise, en fonction de ses usages et de son domaine d’activité, doit définir sa politique en la matière et déterminer les droits d’accès (quel collaborateur peut accéder à quelle information). Et surtout, elle doit prévenir son personnel des menaces potentielles liées au vol de données et l’alerter sur le niveau de sensibilité des informations qu’il manipule. Ainsi, le montant d’un devis ou les réglages de certains équipements, éléments apparemment anodins, peuvent être considérés comme des informations stratégiques pour la concurrence ou pour un attaquant qui souhaiterait les vendre.

Une fois les mécanismes de classification et de protection des données définis, reste encore à les mettre en place et les faire adopter.

En termes de matériel, il convient aussi d’être vigilant et de ne pas laisser un ordinateur portable ou un smartphone professionnel sans surveillance dans des espaces publics. S’ils sont déverrouillés, ils représentent autant de points d’entrées (accès aux boîtes emails ou aux dossiers) pour des personnes mal intentionnées.

Dans ce contexte, l’entrée en vigueur du RGPD – règlement européen sur la protection des données personnelles – le 25 mai 2018 doit permettre de responsabiliser les acteurs traitant des données personnelles. Mais une nouvelle fois, cette réglementation, qui va dans le bon sens pour les citoyens et formalisera un certain nombre d’obligations, ne résoudra pas tout. Car toutes les technologies du monde ne suffiront pas si le facteur humain n’est pas pris en compte.




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.


Twitter
Rss
LinkedIn
Google+
Facebook
Pinterest