Vous avez forcément entendu parler de l’économie collaborative. Mais oui, vous savez bien, ce business model qui se fonde sur le partage des biens entre les personnes, et dont les pionniers sont AirBnb, Uber et Velib. Ce modèle offre de nombreux avantages pour la société, de l’ouverture des marchés (occasionnant une baisse générale des prix) à la rentabilisation maximale des objets, et passant par des transactions plus humaines.
Aujourd’hui, les entreprises fonctionnent grâce au partage de données. Par la numérisation et l’évolution des technologies de l’information, l’information est partagée plus librement, plus rapidement. Dans le domaine des affaires, le nombre d’acteurs avec lesquels nous partageons de l’information a aussi augmenté. Par exemple, les entreprises américaines traitent en moyenne avec plus de 1500 parties tierces (fournisseurs, sous-traitants, consultants…), sans compter leurs employés.
Les risques induits par une organisation du travail fondée sur le partage des données
Comme l’économie collaborative, le partage des données a grandement amélioré notre façon de travailler. En revanche, ce partage décuplé de l’information a, sans nul doute, augmenté le risque de fuites de données. Qui dit plus de partage d’informations, dit plus de possibilités de fuites de données en libre-service.
Quand ces données sont partagées en dehors du périmètre de l’entreprise, au sein de réseaux toujours plus complexes de parties tierces, le risque de voir des données sensibles tomber entre de mauvaises mains ne fait qu’augmenter.
Plusieurs autres facteurs ne font qu’augmenter ce risque. L’engouement du marché pour le partage de l’information se traduit, dans les systèmes d’information, par une capacité de partage privilégiée, au détriment de la sécurité. En témoigne la récente prolifération des périphériques de stockage connectés, aux configurations de sécurité douteuses. Ces périphériques sont la bête noire des équipes cybersécurité du monde entier. Et si les entreprises ont appris à collaborer efficacement avec leurs parties tierces, elles n’ont toujours pas appris à leur faire appliquer leurs standards de sécurité. Selon un rapport d’Accenture sur l’état de la cyber-résilience, paru en 2018, 36% des organisations ne font pas appliquer à leur écosystème de partenaires étendu des standards de sécurité équivalents (ou supérieurs) aux leurs.
Le partage des données au sein des entreprises est-il donc excessif ?
Le travail hyper-collaboratif : l’augmentation des fuites de données accidentelles
Selon l’Institut Ponemon, les fuites de données accidentelles ont augmenté. Dans leur étude “Cost of a Data Breach” paru en 2017, 53% des fuites étaient accidentelles. Ces fuites se distinguent des fuites malveillantes, où des acteurs malveillants (cyber-criminels, employés) subtilisent les données d’une entreprise.
A contrario, une fuite de données négligente peut être due à un dysfonctionnement technique, ou à la négligence d’une personne, au départ bien intentionnée. Par exemple, un employé travaillant de chez lui et sauvegardant des documents confidentiels sur un serveur NAS non protégé ; ou encore un sous-traitant stockant des données personnelles sur un serveur non protégé. Ce genre de fuites de données est précisément la conséquence de cette organisation ultra-collaborative.
L’apparition des fuites de données liées aux parties tierces
En parallèle, les fuites de données liées aux tierces parties de l’entreprise ont augmenté. Par exemple, en 2017, un membre détaché du service client de l’opérateur téléphonique Verizon a exposé les données de plus de 6 millions de clients, qui étaient localisées sur un bucket de stockage Amazon S3. On y trouvait les noms, numéros de portable et codes PIN de ses clients, ainsi que leurs adresses postales, mails, ou encore la situation de leur compte client. La même année, un lieutenant-colonel de l’US Air Force a fait fuiter des milliers de documents classifiés contenus dans un serveur de sauvegarde NAS. Ce serveur contenait les informations sur plus de 4000 soldats, sur des enquêtes en cours, ainsi que les instructions d’une clé de chiffrement utilisée par le ministère de la défense américain.
Sans surprise, les fuites de données accidentelles sont désormais plus fréquentes que les fuites malveillantes, les organisations ultra-collaboratives laissant une place bien trop importante aux failles de sécurité.
Assurer la sécurité des données dans un contexte hyper-collaboratif
Faut-il donc arrêter le travail collaboratif pour assurer la sécurité des données ? Si on examine la nature des organisations hyper-collaboratives, on entrevoit plusieurs solutions :
- Eliminer le partage d’informations
- Bannir les outils de sauvegarde
- Renforcer la complexité des mots de passe
- Surveiller constamment les fuites de données
Comme vous pouvez le voir, plus la mesure est sécurisante, plus elle a de conséquences.
Eliminer le partage d’informations ou bannir les outils de sauvegarde empêcheraient certainement de potentielles fuites de données, mais serait contraire au principe même de collaboration. Bannir les outils de sauvegarde serait aussi contraire à la sécurité des informations de l’entreprise. Comment une entreprise pourrait-elle se remettre alors de l’attaque d’un ransomware, d’une panne de courant ou d’un dysfonctionnement des installations ?
Tirer pleinement profit du travail collaboratif, tout en conservant une sécurité forte des données, requiert une approche plus nuancée.
Si l’on souhaite exploiter le potentiel du partage d’informations et de la collaboration (c’est tout le défi), il faut alors accepter les fuites de données comme inévitables.
En complément des mesures de sécurité des réseaux internes, les entreprises se doivent d’être proactives dans la surveillance des fuites de données. Recevoir des alertes sur les fuites de données dès leur apparition permettrait aux entreprises d’agir directement. Elles seraient prêtes au moment de l’inévitable, et des temps de remédiation moins longs diminueraient les dommages potentiels.
Tout comme l’économie collaborative, les systèmes de partage des données ont été une véritable avancée pour le monde professionnel. Cependant, les gains en termes de collaboration ont été contrebalancés par des pertes en termes de sécurité de nos données. Cela ne signifie pas qu’il faille aller contre le sens de l’histoire. En trouvant l’équilibre entre flexibilité et surveillance, les entreprises pourront partager des données à leur guise sans mettre en danger leurs informations les plus précieuses.
Après une expérience à l’OTAN en tant qu’experte en stratégie cyber, Apolline Aigueperse a rejoint la start-up parisienne CybelAngel peu après sa création. Il s’agit d’une société spécialisée dans la détection de fuites de données sur des parties cachées d’Internet (Dark Web, Deep Web, Objets connectés etc.). Désormais membre du COMEX et associée, elle est responsable du département Cyber de la société qui compte aujourd’hui environ 80 personnes.
One Response