Explosion des vols de données et des coûts induits : la protection des données devient un enjeu majeur pour les entreprises et organisations.
Une multiplication des vols de données
Les vols de données sont devenus de plus en plus fréquents ces dernières années, avec des conséquences importantes pour les entreprises et les organisations. Ces vols peuvent causer des dommages financiers importants, tels que des
pertes de revenus et des coûts de récupération de données, mais également des dommages sur la réputation et la confiance des clients. En raison de ces risques croissants, la protection des données est devenue un enjeu majeur pour les entreprises et les organisations.
Comme l’illustre la Commission Nationale de l’Informatique et des Libertés (CNIL) dans son rapport publié en mai 2022, avec 5037 occurrences, une augmentation des vols de données de 79% entre 2020 et 2021. Selon le Ponemon Institute, en 2022, le coût total moyen d’une violation de données était de 4,35 millions de dollars et le délai moyen pour l’identifier de 207 jours, auxquels s’ajoutaient 70 jours supplémentaires pour la neutraliser.
Quelles données protéger ?
Les entreprises doivent mettre en place des mesures de sécurité pour protéger les données qu’elles collectent, stockent et utilisent, et doivent également être transparentes quant à la manière dont elles gèrent les données. Lorsque l’on s’intéresse à la protection des données, on se préoccupe souvent en priorité des données personnelles et des obligations mises à la charge du responsable de traitement par le RGPD (Règlement général sur la protection des données). Cette approche est quelque peu restrictive dans la mesure où les données nécessaires à une organisation pour accomplir ses missions vont largement au-delà des données personnelles de ses utilisateurs, clients, collaborateurs ou partenaires. On peut notamment retrouver parmi les données à protéger des projets de recherche, des éléments comptables et financiers, des contrats de partenariat, des processus de fabrication, etc.
Il est donc nécessaire que les organisations prennent conscience de l’existence, du volume et de la valeur de l’ensemble de leurs données afin de mieux les protéger tout au long de leur cycle de vie. S’il semble relativement aisé d’acquérir rapidement une visibilité correcte sur les données structurées (données incluses dans les bases de données), il n’en est pas de même pour les données non-structurées (données sans format prédéfini : documents Office, fichiers PDF, etc.).
Les 5 points clés pour se protéger contre les risques cyber
Pour se protéger contre les risques cyber, les entreprises et les organisations doivent mettre en place des mesures de sécurité adéquates.
1. Classifier ses données
Afin de protéger les données d’une organisation, la première action à entreprendre est de procéder à leur classification en fonction de leur sensibilité, de leur importance et de leur utilisation prévue.
Cette étape est primordiale et permet de déterminer les mesures de sécurité à mettre en place pour protéger les données et de s’assurer qu’elles sont utilisées de manière appropriée. La classification des données répond à un enjeu relativement simple : identifier les données et les hiérarchiser selon leur valeur et les réglementations associées.
Pour classifier les données, il convient dans un premier temps de définir des règles et des niveaux de classification (e.g. public, interne, confidentiel, secret) avant de procéder au marquage des documents et autres supports de données dès leur création, ou lors de l’acquisition des données. La mise en application de ces règles doit impérativement s’accompagner d’une campagne de sensibilisation des utilisateurs. Par ailleurs, l’utilisation d’un outil permettant d’indiquer le niveau de classification en filigrane et/ou dans les métadonnées du document pourra être judicieuse pour faciliter la déclinaison opérationnelle des règles définies.
2. Protéger ses données en transit
3. Protéger ses données d'une diffusion non-autorisée
4. Protéger ses données contre la corruption, le vol, la suppression
- la périodicité, qui devra être adaptée à la fréquence de mise à jour des données
- la durée de rétention, qui devra permettre de garantir une restauration des données dans les cas de figure les plus défavorables.
La protection des données stockées ne sera pas complète sans une gestion fine des accès selon le principe du moindre privilège et suivant une politique basée sur le besoin d’en connaître. Les accès seront d’autant plus restreints que le niveau de classification est élevé.
La gestion des accès inclura nécessairement une coordination étroite avec les services RH pour accorder les accès lors de l’arrivée du collaborateur et les supprimer immédiatement en cas de départ ou de modification du poste. Il sera également nécessaire de mettre en œuvre un processus de revue régulière et, si la sensibilité des données le justifie, de monitorer les accès aux données (création, suppression, déplacement, copie, etc.).
5. Archiver et supprimer ses données obsolètes
L’enjeu est alors double : respecter les prescriptions légales (RGPD, normes fiscales et comptables, etc.) et restreindre le volume de données à protéger, et donc réduire la difficulté à garantir cette protection en ne conservant que ce qui est pertinent.
Il est important de noter que les vols de données sont souvent liés aux cyber-risques, c’est pourquoi il est important de mettre en place des mesures de sécurité adéquates pour protéger les données contre les violations et les fuites, et également de se tenir informé des dernières tendances et des dernières méthodes utilisées par les cybercriminels.
Les coûts associés à une violation de données peuvent être considérables pour les entreprises et les organisations. Ces coûts sont directement proportionnels au délai nécessaire pour détecter et neutraliser les menaces. À ce titre, le déploiement d’une stratégie Zero Trust, l’implémentation d’un XDR (eXtended Detection and Response) ou d’un SOAR (Security Orchestration, Automation and Response) peuvent être des éléments déterminants dans la réduction de ce délai de détection et de remédiation.
Christophe Levier : Directeur Go Cloud & Security chez Micropole
