La plupart des détaillants luttent contre la baisse du trafic dans les magasins et la réticence des consommateurs à dépenser. En plus de ces préoccupations, le détaillant « Target » doit également faire face aux conséquences négatives de la récente violation de données à son encontre.
Depuis la violation de la sécurité commise envers Target, un premier sondage de suivi trimestriel a été mené auprès de ses consommateurs par Cowen & Co. Cette enquête a révélé des « diminutions significatives » de la satisfaction de la clientèle d’une année à l’autre, tant au niveau de l’expérience d’achat que pour le service à la clientèle.
L’image de marque et la réputation d’une entreprise sont « inextricablement liées ». Celles de votre entreprise pourraient-elles résister à une fuite de données ?
Il y a beaucoup à perdre si votre entreprise subit une fuite de données. Une étude menée récemment par le Ponemon Institute auprès de 850 cadres supérieurs a révélé que 44% des entreprises peuvent avoir besoin de 10 mois à 2 ans pour rétablir leur réputation suite à une violation des données des clients.
Un tel incident a des effets à long terme sur la valeur d’une marque et il est donc important de savoir quel type de perte de données a le plus grand impact sur la réputation : les données des clients, les données financières ou les données des employés.
Selon l’étude, les organismes victimes de ce genre d’attaque ont perdu entre 184 et 330 millions de dollars en valeur de leurs marques. Au mieux, elles ont perdu 12 % de la valeur de leur marque avant l’atteinte.
Les plus grands scandales en matière de fuites de données
Les fuites et violations de données touchent non seulement les PME, mais aussi les plus grandes entreprises comme Yahoo, Facebook, et Marriott Hotels. L’intrusion dans ces grandes marques rappelle qu’après des années d’attaques qui font la une des journaux, même les réseaux informatiques les plus sophistiqués sont toujours vulnérables.
Prenons l’exemple de Yahoo. La marque a connu la plus grande violation de données de l’histoire en 2013. Cependant, il a fallu encore trois ans après la fuite des informations pour que la marque découvre la mésaventure. C’est le directeur du renseignement de la société de cybersécurité InfoArmor, Andrew Komarov, qui a découvert cette violation de données au moment où il aidait encore l’entreprise à faire face à une autre attaque en 2016. Lorsqu’Andrew Komarov essayait de démonter les données volées, il a décelé quelques indices concernant la brèche de 2013. Il a remarqué qu’en août 2015, un cybercriminel proposait environ 300 000 dollars pour une liste de plus d’un milliard de comptes Yahoo. La marque a vu ses revenus s’effondrer lorsqu’elle a rendu publique la violation de données. Pour faire face à cet incident, Yahoo a recommandé à ses utilisateurs de réinitialiser leur mot de passe et de renouveler les questions de sécurité. Suite à cela, la valeur de Yahoo a baissé de 350 millions de dollars, tandis que le cours de son action a chuté de 3 %. Sans oublier les litiges réglementaires et civils auxquels la marque s’est heurtée pour ne pas avoir divulgué la brèche en temps voulu.
Le géant Facebook a également connu le même sort en 2019. Les numéros de téléphone de 20 % des utilisateurs de cette plateforme de réseautage social – soit environ 419 millions d’abonnés – ont été divulgués, même si Facebook lui-même n’a pas été piraté. Les bases de données contenaient des informations sur les utilisateurs de la marque lorsqu’elle permettait encore aux développeurs d’accéder à leurs numéros de téléphone. Les informations sensibles comprenaient des enregistrements sur plusieurs millions d’utilisateurs de Facebook dans de nombreux sites géographiques, dont 18 millions au Royaume-Uni, plus de 50 millions au Vietnam et 133 millions aux États-Unis. Selon la marque, la cause de cette fuite de données est que les informations en question n’étaient pas protégées par un mot de passe ou un quelconque chiffrement. Toute personne effectuant une recherche sur le web pouvait donc les trouver et y accéder.
En 2018, le système de réservation de Marriott Hotels a été ciblé par des cybercriminels. Marriott International a révélé que des pirates informatiques avaient violé son système de réservation dénommé Starwood dans le but de voler ensuite les données personnelles d’environ 500 millions d’hôtes. Les noms, dates de naissance, adresses, adresses électroniques, numéros de téléphone, et d’autres informations chiffrées de cartes de crédit des clients de l’hôtel ont été volés, de même que l’historique des voyages ainsi que les numéros de passeport de certains clients. A l’issue d’une enquête, la marque a découvert que le réseau Starwood avait été compromis en 2014, au moment où elle était encore une entité distincte avant sa fusion avec Marriott.
Les concurrents ne manquent pas pour attirer vos clients insatisfaits à la suite d’une atteinte à la sécurité
Larry Ponemon, président et fondateur de Ponemon Institute, a déclaré : « La perte ou le vol de données sensibles des clients, comme l’indique notre étude, peut avoir un impact sérieux sur la valeur économique de la réputation d’une entreprise. Nous pensons que cette étude souligne l’importance de prendre des mesures pour réduire la probabilité d’une fuite de données. »
Les rapports qui ont fait état d’atteintes à la protection des données et qui ont touché certaines des plus grandes entreprises d’aujourd’hui continuent de faire les gros titres des actualités dans le monde entier. Toutes les organisations sont vulnérables face à cette menace, mais bon nombre d’entre elles ne sont ni préparées ni équipées pour gérer les conséquences.
Si une entreprise est victime d’une fuite de données, il peut être très difficile de réparer et de corriger des erreurs antérieures pour regagner la confiance de ses clients. Lorsque l’équilibre de la confiance est compromis, reste à voir si cette confiance pourra un jour être pleinement rétablie.
Dans les secteurs concurrentiels et dans l’environnement commercial actuel, caractérisé par un rythme rapide et impitoyable, les concurrents prêts à attirer des clients insatisfaits à la suite d’une atteinte à la sécurité ne manquent pas.
La relation entre la réputation et les résultats financiers est étroitement liée, comme l’a démontré la violation de données très médiatisée contre Sony. Celle-ci a permis aux criminels d’accéder à 20 millions de comptes, dont des adresses électroniques, des numéros de téléphone, des mots de passe et, dans certains cas, des numéros de carte de crédit.
Une grande partie de ces informations était en vente dans plusieurs forums sur la cybercriminalité. Suite à cette infraction, Sony a dû payer plusieurs amendes substantielles, causant de graves dommages à la marque.
Tout ce qui peut ternir une marque affectera en fin de compte les résultats financiers d’une entreprise, car une réputation ternie peut directement entraîner une réduction de la clientèle, des litiges coûteux et une réduction du chiffre d’affaires.
Tout ce qui peut ternir une marque affectera les résultats financiers d’une entreprise
Selon Ronan Kavanagh, PDG de TitanHQ, « Si vous êtes responsable d’un grand nombre de paiements par carte et de détails de connexion, la sécurité des données personnelles doit être votre priorité. Les chefs d’entreprise doivent prendre des mesures de précaution pour se protéger, protéger leurs clients, leurs employés et leur propriété intellectuelle contre les atteintes à la protection des données ».
De nombreuses entreprises ont eu des failles de sécurité et des faiblesses dans leurs systèmes, mais elles ont réussi à minimiser la gravité de l’incident grâce à une défense solide et en mettant en œuvre — et en priorité — des processus de sécurité proactifs.
La façon dont une entreprise est perçue par les consommateurs peut finalement mener à son succès ou à son échec. Une fuite de données peut rapidement mettre en cause la qualité et l’intégrité d’une entreprise, de ses produits et des services qu’elle propose, et ce, quelle que soit la durée de son activité. Il est donc temps que les entreprises adoptent une approche proactive en se demandant comment elles peuvent se protéger contre la divulgation des données sensibles.
Les causes les plus fréquentes des fuites et des violations de données
Il ne se passe pas un jour sans qu’un gros titre ne vienne annoncer qu’une entreprise a été victime d’une fuite ou d’une violation de données, mettant ainsi ses clients et partenaires en danger. Pour éviter cela, vous devez comprendre les causes les plus courantes des fuites et violations de données et comment vous pouvez faire pour atténuer les risques qu’elles représentent.
Utilisation d’identifiants et de mots de passe faibles
Les attaques des pirates informatiques sont sans aucun doute la cause la plus fréquente d’une violation de données, et pour ce faire, ils exploitent une vulnérabilité qui est souvent un mot de passe faible ou perdu. La solution la plus simple pour éviter cela est d’utiliser des mots de passe complexes et de ne jamais les partager avec d’autres personnes. Il est également recommandé d’utiliser l’authentification multifacteurs.
Portes dérobées, vulnérabilités des applications
Si vous êtes un cambrioleur, pourquoi prendre la peine d’enfoncer la porte quand elle est déjà ouverte ? De même, les cybercriminels adorent exploiter les applications logicielles qui sont mal écrites ou les systèmes de réseau mal conçus. Ces applications créent des brèches via lesquelles ils peuvent se faufiler et accéder directement à vos données sensibles. Comme solution, vous pouvez essayer de maintenir toutes vos solutions logicielles et matérielles corrigées et à jour.
Malwares
L’utilisation de malwares directs et indirects ne cesse d’augmenter. Par définition, un malware est un logiciel malveillant qui ouvre l’accès à un cybercriminel pour lui permettre d’exploiter un système et d’autres appareils connectés à votre réseau. Pour éviter la fuite de données à cause d’une attaque de malware, méfiez-vous de l’accès à des sites web qui ne sont pas ce qu’ils semblent être et n’ouvrez pas les e-mails dont vous ne connaissez pas l’origine. Ces deux méthodes sont parmi les plus populaires que les pirates utilisent pour diffuser des malwares.
Ingénierie sociale
Pour un pirate informatique, rien ne sert de se créer son propre point d’accès à exploiter s’il peut persuader d’autres personnes ayant un droit plus légitime sur les données qu’il recherche de le créer pour lui. En fait, l’ingénierie sociale se sert des comportements des utilisateurs (anxiété, confiance, fierté, respect, reconnaissance, serviabilité, etc.) dans le but de s’emparer de leurs données sensibles ou de leurs accès informatiques. Par exemple, si on vous demande de léguer une somme de 1 million d’euros à une personne que vous n’avez jamais rencontrée pour qu’elle puisse vous donner son héritage qui vaut 10 millions d’euros en retour, le feriez-vous ? Seriez-vous prêts à lui fournir vos informations personnelles pour qu’elle puisse vous envoyer l’argent qu’il vous a promis ?
Trop de permissions
Les autorisations d’accès trop complexes sont une aubaine pour les pirates. En fait, les entreprises qui ne contrôlent pas étroitement qui a accès à quoi au sein de leur réseau informatique sont susceptibles de fournir les mauvaises autorisations aux mauvaises personnes ou de laisser des autorisations obsolètes à la disposition d’un pirate informatique qui n’hésitera pas à les exploiter. Pour éviter une telle situation, utilisez un système d’autorisation d’accès simple, mais sécurisé.
Attaques physiques et sinistres
Les fuites de données peuvent également être le résultant d’un bâtiment mal sécurisé. Les pirates ne se contentent pas de rester assis dans leurs chambres dans des pays lointains. Certains d’entre peuvent se présenter comme une personne de confiance qui disposent d’une autorité plausible qui leur donnent le pouvoir de s’introduire dans votre bâtiment et dans vos systèmes informatiques. Pour éviter les fuites de données, vous devez donc être toujours vigilant, en faisant attention à tout ce qui semble suspect et de le signaler.
Menaces de l’initié
Il n’est pas rare qu’un employé malhonnête, un partenaire mécontent ou simplement un utilisateur de votre réseau qui n’est pas assez intelligent ait déjà reçu l’autorisation d’accéder à vos données sensibles. Rien ne l’empêche donc de copier, de modifier, voire de voler ces informations. Comme solution, vous devez savoir à qui vous avez affaire et agir rapidement dès qu’il y a un soupçon de problème. Couvrez le tout par des processus et des procédures sécurisées, soutenus par une formation.
Bon à savoir : comme vous pouvez le constater, il existe trois catégories de fuites de données. D’une part, elles peuvent être interceptées lors de leur déplacement (données en transit) par le biais des e-mails, des discussions en ligne, du trafic Internet, etc. D’autre part, les données peuvent être capturées lorsqu’elles sont au repos, dans les disques durs d’un ordinateur portable, dans votre serveur interne, etc. Enfin, les fuites de données peuvent se produire lorsque les informations sont en cours d’utilisation, par exemple à partir des captures d’écran, des imprimantes, des blocs-notes, des clés USB et d’autres supports de stockage amovibles.
En tant qu’entreprise, il importe de décomposer chaque catégorie et de créer une liste des endroits où vous stockez vos données avant de les attribuer à l’une des trois catégories. Vous pouvez ensuite classer les données dans chaque emplacement (par exemple, en fonction du niveau de sensibilité et des risques de fuites). Une fois que vous aurez compris quelles sont les informations dont vous disposez, ainsi que les risques auxquels vous êtes confronté, vous pourrez commencer à réfléchir aux contrôles et à la sécurisation de vos données afin de réduire les risques de fuites ou de violations.
Comment assurer la sécurité de vos données sensibles ?
La chose la plus importante que vous devez faire est de vous focaliser sur la prévention des fuites de données ou DLP (Data Leak Prevention). La DLP est une stratégie visant à s’assurer que vos informations sensibles ne quittent pas votre réseau d’entreprise. Il peut s’agir d’une solution ou d’un processus destiné à identifier et à suivre le parcours de vos données sensibles, ou à appliquer des politiques visant à empêcher toute divulgation non autorisée ou accidentelle.
De nombreuses entreprises décident d’entreprendre un projet DLP pour protéger leur propriété intellectuelle ou les données de leurs clients. Mais la complexité de la tâche et les ressources nécessaires pour la mener à bien et la maintenir font que le projet n’aboutit souvent jamais. Voici donc quelques mesures que vous pouvez mettre en œuvre dans le cadre d’un projet DLP.
Chiffrement
Vous devez chiffrer toutes les informations sensibles qui quittent votre réseau. Pour ce faire, vous pouvez mettre en place des systèmes logiciels, plutôt que de vous fier uniquement à vos employés. Il suffit d’une clé USB, d’un téléphone ou d’un ordinateur portable perdu et non sécurisé pour porter un coup dur à votre entreprise.
Protection des points finaux
Les terminaux de données sont constitués par les différents appareils utilisés par vos employés, tels que les ordinateurs portables, les ordinateurs de bureau ou les téléphones mobiles. C’est sur ces appareils que résident ou transitent vos données sensibles et la propriété intellectuelle de votre entreprise. Vous devez donc mettre en place des solutions pour protéger vos points finaux afin que vos administrateurs système puissent contrôler les appareils utilisés sur votre réseau. De cette manière, ils sauront quand (et par qui) ces appareils ont été utilisés, et quelles informations ont été consultées ou téléchargées. En même temps, votre entreprise doit mettre en place des politiques de sécurité qui régit l’utilisation de ces appareils.
Contrôle du contenu des e-mails
Si vous et vos employés envoient souvent des informations et des documents confidentiels par mail le risque de fuite de données peut donc être élevé. L’utilisation du filtrage du contenu des e-mails vous permet de rechercher les menaces potentielles. L’expéditeur, l’objet et le corps du message ; les images ainsi que les pièces jointes doivent tous être analysés pour détecter et signaler les risques de fuites potentielles. Le filtrage de contenu peut également alerter les administrateurs des menaces internes, par exemple lorsqu’un utilisateur tente d’envoyer des données confidentielles en dehors de l’entreprise.
Pare-feu intelligents
Outre le courrier électronique, la messagerie instantanée et l’utilisation d’autres services web présentent aussi un risque pour vos données. Il est dans votre intérêt (et de celui de vos employés) d’utiliser un pare-feu pour protéger les ordinateurs individuels et votre réseau informatiques contre les menaces de sécurité. Les pare-feu peuvent également prendre des mesures automatiques contre les fuites de données potentielles, les comportements malveillants et les accès non autorisés à votre réseau. Pour ce faire, soit ils informent l’administrateur soit ils bloquent l’action malveillante.
Contrôle des appareils
De nos jours, de plus en plus d’entreprises établissent et appliquent une politique de BYOD. C’est une politique qui permet aux employés d’apporter et de travailler en liberté avec leurs appareils personnels comme les ordinateurs portables, les Smartphones, les tablettes et les clés USB sur le réseau de l’entreprise. Cette politique peut aider à améliorer la productivité de vos employés. Par contre, si vous ne définissez pas précisément les règles qui déterminent comment les employés peuvent utiliser leurs propres appareils, des données sensibles peuvent être copiées, stockées et transmises sur le lieu de travail. Cela ne ferait qu’augmenter le risque de fuite de données.
Evaluation des autorisations de sécurité
De nombreuses entreprises donnent à leurs employés beaucoup plus d’accès que nécessaires. L’adoption d’une approche « confiance zéro » ou « zero trust » pour les autorisations d’accès permet de remédier à ce problème. Cela signifie qu’un employé n’aura accès qu’à ce dont il a vraiment besoin au quotidien. Cette approche permet de limiter l’ampleur des fuites de données et empêche vos employés d’accéder à certaines informations sensibles. Examinez vos autorisations de sécurité actuelles pour voir qui a accès à quoi. Ceci vous permettra de créer ensuite des politiques d’accès qui limitent les privilèges réseau des employés à ce dont ils ont réellement besoin pour leur travail et de recevoir des alertes au cas où un employé agirait de manière inhabituelle, par exemple, s’il commence à accéder à un grand nombre de documents ou s’il tente d’accéder à des documents à accès restreint.
La politique du moindre privilège
Il s’agit également d’une mesure importante que vous devez appliquer. En fait, il est difficile pour un employé de divulguer accidentellement des données auxquelles il n’a pas accès. C’est pour cette raison que vous devriez adopter une politique de moindre privilège qui limite l’accès aux données de chaque utilisateur au strict minimum, c’est-à-dire aux informations dont il a besoin pour exercer sa fonction. Une telle politique permet aussi de minimiser le risque de fuites de données intentionnelles.
Sauvegardes sécurisées
La sauvegarde des données sensibles est un élément fondamental pour votre entreprise. Mais les sauvegardes peuvent aussi être vulnérables et constituent souvent une mine d’or pour les pirates informatiques si elles ne sont pas sécurisées. Comme pour les fichiers originaux, vous devez chiffrer vos sauvegardes, stocker les informations dans divers supports et à différents endroits (sur site, dans le cloud, etc.) pour permettre la reprise après une éventuelle attaque cybercriminelle ou un sinistre.
Systèmes IDS/IPS
Les systèmes IDS/IPS vous permettent d’effectuer des tests de pénétration. Pour éviter une fuite de données, vous devez être en mesure d’identifier rapidement une tentative de vol de données et de la contenir. Plus vous prenez du temps pour identifier une tentative d’intrusion, plus les pirates informatiques auront le temps de percer vos défenses et de voler vos informations sensibles. En fait, les systèmes de détection d’intrusion ou « Intrusion Detection Systems » et les systèmes de prévention d’intrusion ou « Intrusion Prevention System » peuvent contribuer à la détection précoce des attaques. En utilisant ces systèmes, vous pourrez tester vos mesures de sécurité, déceler les éventuelles faiblesses ainsi que les différents types de tentatives d’intrusion.
Formation des utilisateurs
Les entreprises supposent souvent que leurs employés savent quelles données sont confidentielles et lesquelles ne peuvent pas être divulgués. Pourtant, les fuites de données ne sont pas toujours malveillantes. Il est possible qu’un employé ne se rende pas compte que son comportement met l’entreprise en danger. Voici pourquoi vous devez sensibiliser vos collaborateurs sur les dangers des fuites de données et organiser régulièrement des séances de formation afin de vous assurer que chacun est conscient des risques et pour que vos employés sachent la politique de votre entreprise en matière de cybersécurité.
Conclusion
Les fuites de données peuvent à la fois être embarrassantes et activement dangereuses pour votre entreprise et vos clients. La prévention des fuites de données – qu’elle résulte d’un accident ou d’une attaque intentionnelle – doit être votre priorité absolue, dans un monde où les informations peuvent se déplacer dans le monde en quelques secondes.
Combien de ces pratiques votre entreprise a-t-elle déjà adopté ? Si vous avez besoin d’aide pour mettre en œuvre des solutions de sécurité pour éviter les fuites de données et pour contrer les autres menaces cybercriminelles, contactez l’équipe de TitanHQ dès aujourd’hui. Nous disposons d’une équipe professionnelle qui se fera un plaisir d’aider votre entreprise à protéger vos données afin que vous et vos collaborateurs puissiez vous concentrer sur la croissance de votre entreprise, plutôt que de vous inquiéter de la sécurité de vos données et de votre architecture réseau.