La protection des données est un défi économique

L'explosion des données numériques pose un défi à la fois sociologique, politique, géopolitique, juridique et économique. La valeur patrimoniale de l'information augmente en permanence. Les données numériques proviennent de toutes parts - sites internet, réseaux sociaux, messageries électroniques, blogs… Le Big Data touche l'ensemble des acteurs économiques. Ce phénomène n'est pas sans conséquences sur les rapports que les entreprises entretiennent entre elles, que ce soit des multinationales ou des PME. Face au Big Data, la collecte, le traitement, le partage, l'analyse, le stockage, la protection et la valorisation des données doivent s'adapter. De nouveaux modes de gestion comme le cloud computing apparaissent.

Le nombre de données à protéger augmente

L'augmentation du nombre de données à protéger, la complexification des actifs à sécuriser et l'interconnexion des systèmes ont évidemment une incidence directe sur la sécurité des informations. Outre leur conservation effectuée par sauvegarde ou stockage sécurisé, leur protection contre le vol et la malveillance est désormais cruciale. Lutter contre la cybercriminalité devient un enjeu économique majeur pour les entreprises, à l'heure où les infrastructures sont de plus en plus vulnérables face aux nouveaux types de menaces.

Perdre ou se faire voler des données stratégiques ou concurrentielles peut avoir des conséquences dramatiques sur le chiffre d'affaires, la crédibilité et les résultats, que ce soit dans l'industrie, la finance ou simplement la vente en ligne. Sensibiliser tout un chacun à ces nouvelles problématiques, montrer les dangers des menaces qui pèsent sur les entreprises et sur chacun de nous, convaincre chaque salarié, chaque client et chaque partenaire d'adopter les bonnes pratiques de sécurité apportera des réponses aux problèmes posés par la cybercriminalité. Les états, on l'a vu, se soucient eux-mêmes du danger qu'elle représente.

La cybercriminalité s'amplifie

La cybercriminalité englobe les infractions pénales commises dans le monde numérique par le biais des réseaux informatiques. Ce sont des escroqueries en tous genres - contrefaçons, espionnage industriel, piratage de systèmes d'information, pillage de données sensibles, vols de données personnelles, fraudes aux moyens de paiement, téléchargements illégaux, etc. Les cybercriminels font preuve d'une imagination et d'une ingéniosité incroyables pour mener à bien leurs projets. La diversification et la complexification des cyber-infractions suivent au plus près les innovations technologiques, avec souvent une forte avance sur la réactivité des organisations visées.

Des gains élevés

Le nombre croissant de ces actes frauduleux s'explique par les gains élevés qu'ils procurent. Un cyber-délit rapporte généralement plus à son auteur qu'une infraction traditionnelle. De plus, épingler le délinquant est souvent plus difficile (même si on assiste à quelques arrestations dans le monde), à cause de l'anonymat et de l'absence de frontières sur la toile. A cela s'ajoute l'opacité des techniques utilisées. Souvent considérée comme moins grave que le délit traditionnel, l'infraction virtuelle fait peu parler d'elle. Les entreprises 'hackées' rechignent à avouer avoir fait l'objet d'un vol de données, craignant d'afficher leurs faiblesses et que cela retentisse sur leur image. Les hackers sont tranquilles, leurs cyber-délits ne seront pas dénoncés.

Des États se livrent à l'espionnage

Les délits progressent et s'amplifient sur la toile, avec les conséquences économiques évidentes qui en découlent ! Par ailleurs, certains états et certains organismes publics se livrent à des activités d'espionnage et de surveillance organisées comme l'a révélé le scandale des programmes élaborés par l'Agence nationale américaine de sécurité (NSA).

Ce constat exige la mise en œuvre d'une politique de sécurité, reposant sur des solutions pertinentes, avec l'adoption de bonnes pratiques pour prévenir les risques et contrôler les comportements. La défense de la confidentialité, de l'intégrité et de la disponibilité des informations passe par un système de répression du cyber-banditisme. La réponse apportée est à la fois technologique, opérationnelle et judiciaire.

Protéger les données personnelles est obligatoire

La cyber-sécurité doit s'intéresser prioritairement à la protection des données personnelles. Il s'agit d'une obligation légale liée au respect de la vie privée et aux droits et libertés fondamentaux.

Les entreprises sont responsables des données personnelles qu'elles traitent mais dans le même temps, elles sont aussi victimes d'attaques, comme le montre le piratage récent des bases de données d'Orange. Les données personnelles de 800 000 clients (3% des clients) disposant d'un compte sur orange.fr ont été dérobées.

De nombreux risques, failles de sécurité comme Heartbleed qui vient d'être révélée, vol et divulgation d'informations sensibles, fraudes internes et externes, espionnage, etc., engagent la responsabilité pénale de l'entreprise. Quel paradoxe ! On peut s'interroger sur le sens et la portée du droit en matière de protection des données personnelles. La sensibilisation des entreprises pour la sécurisation de leur système d'information est d'autant plus indispensable qu'elles n'ont pas toujours une réelle gestion de leur cyber-sécurité, se montrant malheureusement souvent plus réactives que pro-actives.

La loi impose aux fournisseurs de services de communications électroniques de notifier à la CNIL toute violation de données personnelles et, le cas échéant, d'informer les personnes concernées de l'existence de la violation. Ces dispositions sont-elles respectées ? Pas toujours même si dans le cas d'Orange, une notification à la CNIL a bien été faite dès le lendemain.

Mettre les comptes à privilèges sous surveillance

L'utilisation massive des nouvelles technologies de l'information avec la messagerie électronique, intranet, internet, les bases de données, le cloud computing, etc., rend certes l'entreprise plus compétitive mais aussi plus vulnérable parce que plus ouverte. L'externalisation de la maintenance et de l'exploitation, l'outsourcing des services tels que le support ou le call-center, ont ouvert de nouvelles failles. Ces risques sont d'autant plus graves qu'il s'agit souvent d'utilisateurs à privilèges (au sens informatique : droits et privilèges sur les applications et les données) qui pourront accéder aux données.

Le danger vient des privilèges! À partir d'un compte à privilèges de type administrateur, il est possible de faire fonctionner n'importe quel programme, d'effacer n'importe quel fichier, de stopper n'importe quel processus… par malveillance ou par négligence. C'est dire les risques importants de sécurité qu'engendre cette situation. L'entreprise doit redoubler de vigilance et de précautions pour contrôler les comptes à privilèges et les tracer en enregistrant les différentes sessions.

La protection et la traçabilité spécifiques de ces populations utilisatrices sont donc primordiales. Cela implique la mise en œuvre de solutions d'accès tracés, avec des dispositifs de masquage des mots de passe « administrateur », la traçabilité des opérations réalisées par chaque intervenant (ce ne sont plus des comptes génériques mais des comptes nominatifs), l'utilisation de solutions de coffres-forts de mots de passe, etc.

Comprendre ce qui s'est passé

Pour mener une lutte efficace contre les infractions et amener leurs auteurs à répondre pénalement de leurs actes, il faut mettre en place les moyens qui faciliteront la détection, l'investigation et les poursuites, tant au plan national qu'international. Ce qui n'est possible qu'en obtenant les preuves nécessaires. Le caractère mondial de la cybercriminalité complique la tâche. Chaque scène de délit numérique doit donc être examinée par des experts, qui sont les auxiliaires indispensables pour l'analyse des données susceptibles d'apporter les preuves de l'intrusion et d'expliquer la méthode employée. En révélant les failles techniques et organisationnelles, les techniques d'analyse "forensique" deviennent un outil fondamental de la lutte contre la cybercriminalité. Elles permettent aussi à l'entreprise de s'assurer de sa conformité avec la loi et de repérer les fraudes internes ou externes.

Sensibiliser, former et rester vigilant

De nombreux efforts restent à faire en matière de recherche, de formation et de sensibilisation. Les attaques sont de plus en plus ciblées. La première faiblesse de l'entreprise est le comportement de ses salariés. Ce peut être aussi son meilleur rempart. Sans sensibilisation du personnel, des partenaires et des clients, voire de tous les citoyens, les bienfaits de la révolution numérique risquent d'être remis en cause. La formation à tous les niveaux contribue à la protection des systèmes d'information. Un employé averti n'ouvrira pas l'e-mail infecté qui permettrait au délinquant de s'introduire dans le système d'information. Il ne se laissera pas non plus abuser par un courriel déguisé et trompeur et ne donnera en aucun cas les informations confidentielles demandées par une soi-disant banque ou un supposé opérateur.

Le scandale de la NSA a donné un nouvel élan au débat sur la protection des données et des systèmes d'information. Depuis l'affaire Snowden, la protection des données revêt un caractère particulièrement sensible. Toutes les questions qu'elle suscite, y compris les aspects transfrontaliers, sont omniprésentes dans la vie de chacun - dans ses relations avec l'administration, dans son travail, dans le domaine de la santé, lorsque l'on surfe sur Internet ou lorsque l'on effectue des achats. Il semble cependant que dans ce domaine, les individus soient mal informés. Des actions de sensibilisation et d'information sur les bonnes pratiques devraient permettre à chacun d'exercer une certaine prudence. Il est nécessaire de prendre le temps de réfléchir à ces aspects méconnus, qui font désormais partie de notre vie quotidienne, privée, professionnelle ou publique.

Une politique d'investissement indispensable

La lutte contre la cybercriminalité relève d'une action continue, reléguant les interventions et contrôles ponctuels au musée de la sécurité. Il faut évidemment ajouter à cette action continue la mise en place des meilleures technologies, mais aussi des tests de défense ininterrompus pour découvrir les éventuels incidents sur le réseau.

Enfin, et on ne le répétera jamais assez, la sensibilisation et l'éducation permanentes du personnel de l'entreprise (et du public dans son ensemble) sont indispensables car c'est toujours une défaillance humaine qui ouvre la porte du système d'information aux cyber-délinquants, dont les objectifs économiques ou de nuisance peuvent être catastrophiques pour l'activité et les résultats d'une entreprise.

Le système d'information est la colonne vertébrale et parfois le cerveau des entreprises ; son blocage, son ralentissement ou sa destruction partielle sont aussi graves sur le plan économique que peut l'être sur le plan matériel et humain l'incendie d'une usine ou l'explosion dans une mine. La sécurité de ce système et des données qu'il stocke ou véhicule ne relève plus du simple fonctionnement et de la bonne pratique. Il est nécessaire de repenser la sécurité comme un investissement au même titre que les applications elles-mêmes, c'est-à-dire comme faisant partie de la stratégie économique de l'entreprise, de son développement et de sa pérennité.