Il n’y jamais eu autant de fuites de données en France qu’en 2020. C’est le principal enseignement du nouveau baromètre intitulé “Data Breach” et dévoilé par le Forum International de la Cybersécurité. Mais quelle est l’origine de ces fuites ? Et comment s’en prémunir ?
Le lourd bilan des fuites de données en 2020
L’année 2020 a été marquée par les confinements successifs, la démocratisation du télétravail et l’avènement de la communication à distance. Lors de cette période, les cybercriminels se sont montrés particulièrement actifs. 7 vols de données ont été commis chaque jour en 2020, contre 4,5 en 2018 ! Lors du premier semestre 2020, plus d’un million de Français avaient déjà été victimes d’une violation de leurs données personnelles.
Parmi les fuites de données recensées, 52% sont dues à un acte criminel. Plusieurs types de cyberattaques peuvent provoquer une fuite de donnée :
- Le phishing : cette technique consiste pour le criminel à se faire passer pour quelqu’un d’autre auprès de la victime : un banquier, un client, un collaborateur, un fournisseur, un supérieur hiérarchique… Il demande à la victime un virement bancaire, ou des informations personnelles (identifiant, mot de passe…).
Avec de telles informations, le criminel peut accéder au système d’information d’une entreprise et voler ses données. - Le rançongiciel : l’un des salariés reçoit un email avec une pièce-jointe contenant un programme malveillant. En voulant ouvrir cette pièce-jointe, le salarié installe malgré lui le programme sur sa machine, qui se met à crypter toutes les données sensibles de l’entreprise. L’entreprise reçoit ensuite une demande de rançon de la part du criminel, qui menace de supprimer les données encryptées. Dans tous les cas, le criminel se trouve désormais en possession des données de l’entreprise.
- Les intrusions : le criminel parvient à mettre la main sur les accès d’un salarié pour pénétrer dans le système de l’entreprise. Il peut ainsi faire de l’espionnage industriel, mettre les données de l’entreprise en vente au plus offrant…
- La menace interne : un collaborateur qui branche malgré lui une clé usb infectée, un employé licencié dont les identifiants seraient toujours fonctionnels… la menace interne peut également conduire à une fuite de données.
Par ailleurs, 33% sont d’origine accidentelle et proviennent d’une erreur de manipulation (envoi d’un email contenant des données sensibles aux mauvais interlocuteurs par exemple) ou de configuration.
Le baromètre nous apprend également que si tous les secteurs et tailles d’entreprises sont concernés, les organisations les plus touchées sont celles qui disposent des données les plus sensibles : administrations publiques, banques, assurances, laboratoires…
Enfin, il est important de noter que le baromètre n’englobe pas les fuites de données “légales”. Nombreuses sont les entreprises françaises à utiliser des solutions étrangères (messagerie, visioconférence, CRM…). Ces solutions, souvent américaines, sont soumises au Cloud Act. Cette loi autorise les agences fédérales des États-Unis à fouiller dans les données des utilisateurs de ces solutions.
Si ces pratiques sont légales aux yeux du gouvernement américain, elles constituent une violation de la RGPD. C’est pourquoi la CNIL déconseille l’utilisation des solutions étatsuniennes.
Comment se prémunir des cybermenaces ?
Si le bilan de 2020 en matière de fuites de données peut sembler édifiant, il est possible de prendre des mesures pour protéger son entreprise.
En premier lieu, le fait de réaliser une AIPD (analyse d’impact relative à la protection des données) pour identifier les potentielles failles au sein de son organisation et mesurer les risques et les conséquences d’une éventuelle fuite de données.
Pour éviter les fuites d’origine accidentelle, il est important de sensibiliser les collaborateurs aux différentes cybermenaces dont ils peuvent être victimes et de les informer sur les bons réflexes et les gestes à adopter. De même, les équipes techniques doivent être préparées aux mesures d’urgence à adopter en cas de gestion de crise.
Par ailleurs, certaines mesures techniques peuvent être prises : le fait de chiffrer les données confidentielles, de vérifier et mettre à jour régulièrement les droits d’accès, changer régulièrement les mots de passe ou encore d’effectuer des sauvegardes régulières de vos données.
Il est par ailleurs impératif de se mettre en conformité avec les législations en vigueur, notamment la RGPD. Il est également possible de nommer un DPO (Data Protection Officer), responsable interne de la protection des données de l’organisation.
Enfin, il est fortement recommandé d’utiliser des solutions souveraines, qui hébergent leurs données en France. Cela permet d’éviter le Cloud Act, qui met en péril la confidentialité des données de toute entreprise utilisant une solution hébergée aux États-Unis. Mais aussi un potentiel espionnage de toute autre solution étrangère. Pensez à vérifier les CGV des solutions utilisées par votre entreprise et les lignes relatives à l’utilisation de vos données.
En adoptant ces mesures simples, vous réduirez drastiquement les risques de fuite de données intentionnelle et accidentelle. Chez Iboo, pour protéger nos utilisateurs, nous hébergeons notre solution en France, à Cesson Sévigné. Nous nous engageons aussi contractuellement auprès de nos clients à ne pas exploiter leurs données.
