Données sensibles : comment les protéger ?
ABC du chiffrement Idées & initiatives
Comment identifier les données sensibles pour mieux les sécuriser ?
Les données sensibles sont partout. Dans n’importe quel ordinateur ou smartphone appartenant à un collaborateur d’une entreprise, elles sont omniprésentes. On les trouve sous différentes formes et sous de multiples formats. Un mot d’ordre les concernant : elles sont à protéger en priorité, car elles peuvent avoir une très grande valeur pour un attaquant potentiel.
Les différentes facettes des données sensibles
Les données sensibles ne sont pas forcément les données les plus confidentielles au sein d’une organisation. Ces données du quotidien peuvent même paraître anodines pour certains collaborateurs, car elles font partie de leurs dossiers ou de leurs processus habituels.
Mais un fichier client, par exemple, peut receler de nombreuses informations stratégiques qu’un concurrent frontal pourrait chercher à récupérer : nom et coordonnées des interlocuteurs privilégiés, types de contrats signés, volume d’affaires généré, entreprises ou agents ayant servi d’intermédiaires, etc.
Le raisonnement s’applique également à une base de données fournisseurs. Les entreprises auprès desquelles une organisation achète ses produits ou ses prestations intellectuelles constituent une manne d’informations qu’un pirate informatique pourrait revendre sur le « dark web » ou directement auprès de concurrents peu scrupuleux.
Tout ce qui touche à la propriété intellectuelle d’une société (brevets, plans…) représente également un avantage concurrentiel indéniable qu’une entreprise doit protéger des cyberattaques.
Par ailleurs, les données personnelles des collaborateurs sont des données hautement sensibles, surtout s’il s’agit d’informations personnelles identifiables (PII en anglais, pour Personal Identifiable Information).
Ce qui rend une donnée sensible : sa valeur pour l’attaquant
Quel que soit le contexte, il est très important de se rappeler une chose : ce qui fait la valeur d’une donnée est en réalité sa valeur aux yeux de l’attaquant. Au sein d’une entreprise, les équipes ne sont pas forcément toujours conscientes de la richesse des informations qu’elles manipulent au quotidien. Les cybercriminels, eux, en ont une parfaite connaissance et savent comment ils pourront en faire mauvais usage.
Pour réussir à distinguer les données sensibles des données plus « basiques », il est nécessaire de se poser les questions suivantes :
- Quelles données pourraient avoir de la valeur sur le marché noir ?
- Si elles venaient à ne plus être disponibles, quelles données pourraient impacter négativement le bon déroulement des opérations de l’entreprise ?
- Quelles données serait-il dommageable de voir publiées sur un site public ou dans les médias ?
- Quelles sont celles dont le vol pourrait nuire à la compétitivité de l’entreprise, aux réponses aux appels d’offres ou aux recrutements de nouveaux collaborateurs ?
Données sensibles : les risques encourus par les entreprises
Une fuite de données peut avoir lieu à cause d’un collaborateur indélicat. Des pirates informatiques peuvent également s’introduire dans le système d’information d’une entreprise pour en exfiltrer certains fichiers ou jeux de données. Dans tous les cas, les conséquences sont les mêmes : les informations volées sont susceptibles de finir dans des mains peu recommandables.
Les conséquences peuvent être très variées : divulgation à des tiers non autorisés, revente sur le marché noir, utilisation dans le cadre d’un chantage…
Les risques sont donc à la fois d’ordre économique (baisse du chiffre d’affaires, perte de projets, de contrats ou de clients…), réputationnel (articles de presse peu élogieux, atteinte à l’image de l’entreprise) et réglementaire (sanctions et amendes, par exemple en cas de compromission de données personnelles, dans le cadre du RGPD).
Données sensibles : quels moyens pour les protéger ?
Les données sensibles se propagent rapidement : :
- elles circulent au sein d’espaces collaboratifs et de stockage,
- elles sont véhiculées par l’intermédiaire de messageries instantanées ou de courriers électroniques,
- elles sont échangées entre services, mais aussi avec des tiers : sous-traitants, fournisseurs, clients, partenaires…
Une sensibilisation de tous les instants est donc nécessaire, auprès des collaborateurs, et de l’écosystème de l’entreprise. Chaque partie prenante est concernée et se doit d’adopter une attitude proactive.
D’autres mesures sont aussi efficaces pour protéger les données sensibles :
- La mise en place d’une politique rigoureuse de gestion des accès : elle renforce la sécurité en limitant l’accès aux données sensibles uniquement aux collaborateurs autorisés, réduisant ainsi les risques de fuite d’informations ou de cyberattaques. Elle améliore également la conformité aux réglementations et aux normes du secteur, ce qui peut éviter des sanctions légales et des amendes. Elle permet enfin une meilleure traçabilité et un audit simplifié des activités des utilisateurs, facilitant la détection et la gestion des incidents de sécurité.
- La mise en œuvre d’une stratégie de sauvegarde : elle garantit la continuité des activités en assurant une récupération rapide des données en cas de perte, de panne ou de cyberattaque, minimisant ainsi les interruptions. Elle protège contre les pertes de données accidentelles ou intentionnelles, les informations critiques étant toujours disponibles.
Mettre en oeuvre une stratégie de chiffrement des données pour les sécuriser
Le chiffrement de bout en bout garantit la sécurité et la confidentialité des informations sensibles. Il assure que les données restent illisibles pour les personnes non autorisées : lors du stockage sur des serveurs tiers, en cas d’interception lors du transit des données ou de compromission sur le Cloud.
Chiffrer les données, c’est les rendre inintelligibles au moyen d’un algorithme et d’une clé connue seulement par son propriétaire. Il est alors impossible d’exploiter les données volées sans posséder la clé. En ayant recours au chiffrement, les entreprises bâtissent une ultime barrière garante que les données, même volées, ne puissent pas être utilisées à des fins délictueuses.
Le chiffrement est complètement transparent pour l’utilisateur : il apporte une protection des collaborateurs en situation de mobilité, un cloisonnement interne et une protection globale de bout en bout qui va des dossiers et des fichiers locaux jusqu’aux sauvegardes centralisées.
Le chiffrement des données fait d’ailleurs partie des recommandations de la CNIL pour la protection des données personnelles.
Les données sensibles, omniprésentes au sein des entreprises, quelle que soit leur taille ou leur secteur, constituent la matière première manipulée chaque jour par l’ensemble des collaborateurs dans le cadre de leurs tâches et projets. Une attention de tous les instants est indispensable pour les protéger contre le risque de vol ou de fuite, en mettant en œuvre une défense en profondeur et une sécurité multicouche.