Les fuites de données peuvent toucher des entreprises de toutes tailles, dans tous les secteurs. Conséquence de la digitalisation de nos échanges, elles connaissent une hausse exponentielle ces dernières années. Il existe pourtant des solutions simples pour s’en prémunir et former ses équipes sur le sujet.
Fuite de données : Comment réduire les risques et limiter les impacts en startup
Au cours des dix dernières années, la fréquence des fuites de données a subi une hausse jusqu’ici jamais observée. En 2018, on enregistrait une hausse de 424% par rapport à l’année précédente. Même si les incidents concernant les grands groupes restent plus médiatisés, les petites entreprises sont toutes aussi victimes de ces fuites de données et ont souvent bien plus de difficultés à s’en remettre !
En plus de la baisse de chiffre d’affaires liée à la perte de confiance et à l’atteinte à l’image de l’entreprise, les frais directs engendrés par la fuite de données peuvent parfois être synonymes de la fin de l’activité d’une PME.
On distingue deux vecteurs majeurs liés aux fuites d’informations : la cyber-malveillance et la négligence de collaborateurs.
La cyber-malveillance
La cyber-malveillance regroupe tous les actes volontairement nuisibles à une organisation, elle peut venir de menaces externes (hackers, gouvernements, etc.) ou de menaces internes (prestataires, employés peu scrupuleux, etc.).
Le cyber-espionnage
Il résulte le plus souvent d’attaques furtives et continues qu’on appelle des « menaces persistantes avancées ». Lors de faits de cyber-espionnage, les attaquants cherchent à rester le plus discrets possible une fois qu’ils ont infiltré l’organisation pour pouvoir siphonner les données sensibles. Il n’est pas rare qu’ils passent inaperçus pendant plusieurs semaines voire plusieurs mois !
Dans quel but ? Le but est d’exploiter ces informations sensibles pour gagner un avantage face à la concurrence. Par exemple, cela permet d’acquérir des bases clients, de la propriété intellectuelle, savoir-faire, etc. sans avoir déployé les ressources normalement nécessaires pour les produire. Dans chaque acte de cyber-espionnage, il y a toujours un intérêt économique, scientifique ou diplomatique/militaire.
Qui est derrière ? On retrouve des groupes de hackers recrutés par des acteurs privés ou par des gouvernements. La Chine est par exemple reconnue pour ses multiples faits de cyber-espionnage dans pratiquement tous les secteurs.
La cyber-criminalité
La cyber-criminalité comprend tous les actes malveillants qui aspirent essentiellement à un but lucratif. Les attaques par Ransomware sont par exemple devenues récurrentes depuis quelques années. Lorsqu’on parle de fuites de données, on fait référence à des attaques de type hameçonnage (ou phishing).
Même si certaines de ces attaques peuvent vous sembler évidentes à démasquer, certaines le sont beaucoup moins. Vous pouvez par exemple mettre à l’épreuve vos connaissances et celles de vos équipes avec ce test développé par Google. Vous verrez, il n’est pas si facile de faire un sans-faute !
Dans quel but ? Dans le cadre des fuites de données, les attaquants cherchent essentiellement à pouvoir dérober, altérer, ou divulguer des informations de valeur qui pourront ensuite être utilisées à des fins lucratives.
Qui est derrière ? Pour ce genre de faits, les profils sont très hétérogènes : il peut s’agir d’un adolescent qui s’infiltre pour le challenge et qui agira de façon opportuniste. Ou bien d’attaquants beaucoup plus organisés qui ont identifié votre société comme porteuse d’informations de valeur et surtout comme peu protégée.
La négligence
Un grand vecteur de fuite de données en entreprise est la négligence. Deux principaux facteurs augmentent significativement les risques de fuite : le manque de formation des équipes et l’absence d’une charte ou de processus de traitement des données sensibles.
Qui est derrière ? Il peut s’agir de collaborateurs à n’importe quel niveau de l’entreprise qui ont accès à des données sensibles. Il peut également s’agir de prestataires extérieurs (comme des cabinets de conseils, des incubateurs, des investisseurs ou encore des freelances) qui ne maîtrisent pas les droits d’accès aux données sensibles que vous leur fournissez.
Heureusement, des mesures simples existent pour limiter les risques et les impacts des fuites de données !
1 – Formez vos équipes à une bonne hygiène informatique
En respectant avec vos équipes un ensemble de bonnes pratiques élémentaires, vous pouvez déjà réduire fortement les risques de fuite.
Que faire d’un périphérique USB trouvé ? Qu’est-ce qui détermine un mot de passe sûr ? Qui prévenir si mon ordinateur est infecté par un virus ? Puis-je connecter mon smartphone sur le même réseau que mon poste de travail ? Qui a accès à quelles informations dans l’entreprise ?
Rédiger et partager une politique d’hygiène informatique permettra à vos collaborateurs de prendre les bonnes décisions dans des situations qui pourraient mettre en péril la confidentialité des données de vos clients et des utilisateurs.
Pour vous accompagner dans cette démarche, l’ANSSI met à disposition un “guide des bonnes pratiques de l’informatique” destiné aux petites et moyennes entreprises.
Il regroupe de nombreuses réponses aux questions que votre équipe et vous pourriez vous poser sur les meilleurs comportements à adopter concernant la sécurité de votre startup.
2- Effectuez des mises à jour régulières
C’est vrai, la fréquence de parution de nouvelles mises à jour de votre système d’exploitation et de vos logiciels peut parfois sembler oppressante. Vous devez pourtant garder en tête qu’elles permettent de fixer les failles de sécurité de systèmes que vous utilisez quotidiennement.
Rien qu’au cours du mois de mai 2019, Microsoft a corrigé 22 vulnérabilités critiques dans ses logiciels, dont certaines permettant de prendre le contrôle à distance d’une machine sans autorisation.
Un système qui n’est pas à jour augmente drastiquement votre surface d’attaque – c’est-à-dire la somme des différents vecteurs par lesquels un pirate peu accéder à votre système – et augmente donc les risques que votre parc informatique entier soit compromis.
Par exemple, en 2017, le malware NotPetya s’est propagé sur les postes d’une usine de Saint-Gobain, les forçant à arrêter la production pendant 10 jours. La perte de chiffre d’affaires estimée par l’entreprise s’élève à près de 220 millions d’euros.
Une seule machine vulnérable peut parfois mettre à mal toute l’activité d’une entreprise !
3 – Identifiez vos données sensibles
Identifier et classifier vos données sensibles demeure une première étape nécessaire pour pouvoir les protéger. En sachant les qualifier, identifier où elles se trouvent et qui en est le propriétaire, vous pourrez plus facilement appliquer les mesures de protection adéquates. Pour vous aider à appliquer les protections les plus adaptées, déterminez si vous souhaitez préserver la confidentialité, la disponibilité ou l’intégrité de la donnée identifiée.
4 – Chiffrez vos fichiers et emails
Dans le cas où un acteur malveillant aurait accès à votre système informatique (infection d’un poste avec un logiciel malveillant ou attaque d’un compte email par phishing), il pourrait avoir accès aux documents des différents appareils de votre réseau.
Une telle intrusion ne mène pas nécessairement à l’exposition ou à la fuite d’informations privées. L’adoption d’une solution de chiffrement comme Seald permet d’assurer la confidentialité de vos données : des informations chiffrées sont illisibles pour toute personne n’ayant pas connaissance de leur clé de déchiffrement. Le chiffrement reste donc un moyen simple de protéger vos données et de les rendre inutilisables même en cas de fuite.
5 – Réalisez des sauvegardes de vos données
L’exposition des données sensibles est déjà un événement désastreux mais il est en plus souvent difficile de s’assurer de l’intégrité des données après une intrusion.
Dans ce cas, pouvoir reprendre à partir de sauvegardes saines est souvent la meilleure solution pour redémarrer rapidement votre activité.
Pour plus d’efficacité, le processus de sauvegarde doit être le plus simple possible. Les sauvegardes doivent être effectuées régulièrement et, surtout, être testées. On se rend trop souvent compte qu’une sauvegarde est corrompue dans un moment où elle aurait été indispensable.
Enfin, les sauvegardes sont des ressources qui peuvent également être compromises. Même si elles assurent la disponibilité de vos données elles ne doivent pas en compromettre la confidentialité. Au même titre que n’importe quelles autres informations sensibles, elles doivent donc bénéficier de protections adaptées.
La cybersécurité dans les startups repose sur un complexe mélange de limitation des risques et d’optimisation des coûts. Même si une des qualités de l’entrepreneur reste son aptitude à prendre des risques, il doit considérer les cyber risques comme une menace réelle contre la pérennité de son organisation.
Président Directeur Général de Seald, Timothée Rebours a pris à coeur de simplifier les outils de chiffrement pour rendre la cybersécurité accessible à toutes les entreprises, et plus seulement aux grands groupes. Il est diplômé de l’École Polytechnique (promotion 2012) dans laquelle il a suivi un parcours hybride entre informatique, intelligence économique et entrepreneuriat, et a créé la société Seald en 2016 à la suite d’un master à l’UC Berkeley.