Les fuites de données ne sont pas aussi médiatisées que les violations de données, pourtant elles ont potentiellement des effets tout aussi dévastateurs sur une entreprise. Il est donc indispensable que les organisations connaissent comment les fuites de données se produisent et les principales mesures à prendre pour s’en protéger.

Une violation de données se produit lorsqu’un attaquant extérieur à une organisation pénètre dans son écosystème IT et dérobe des informations privées ou sensibles.

À l’inverse, la fuite de données se produit depuis l’intérieur vers l’extérieur : une personne au sein de l’entreprise partage des informations confidentielles avec des destinataires non autorisés, ou crée une brèche qui permet à des individus qui ne devraient pas y avoir accès d’accéder facilement à ces informations. Ces deux actes peuvent être accidentels ou délibérés.

À l’instar d’une violation de données, une fuite entraine de multiples conséquences indésirables. Elle peut notamment se traduire par des poursuites judiciaires de la part des personnes dont les données ont été exposées, des sanctions de la part de la CNIL, ainsi que des dommages à la réputation et aux résultats de l’entreprise impliquée.

Les données convoitées

Les données destinées à être mises à la disposition du public n’ont aucune raison de faire l’objet d’une fuite ; notamment les communiqués de presse publiés par l’organisation, les descriptions de produits ou de services, et la politique de confidentialité du site web.
Cependant, la plupart des données stockées par une entreprise ne sont pas destinées à être accessibles à tout un chacun, et elles sont donc susceptibles d’être partagées ou consultées de manière inappropriée. Il s’agit notamment des secrets d’affaires, des informations sur les stocks, de la propriété intellectuelle (comme les brevets), des données des clients (données à caractère personnel, informations de santé personnelles), ou encore des données des employés (données à caractère personnel, informations financières, noms d’utilisateur et mots de passe).

Les causes des fuites

En 2020, les organisations du monde entier ont rapidement basculé vers le travail à distance. Mais lorsque les travailleurs accèdent à des outils et des bases de données propriétaires depuis leur domicile, toute mauvaise configuration peut mettre les données en péril. En effet, 60 % des entreprises ont déclaré avoir découvert de nouvelles failles de sécurité à la suite de la transition vers le télétravail, selon nos recherches.

Les fuites de données peuvent également être le fait d’employés malveillants, ou négligents du fait d’un manque de connaissance IT et des cyber-risques. Selon les prévisions de Forrester, 33 % des violations de données en 2021 seront attribuables à des incidents liés à des salariés, ce qui représente une augmentation par rapport aux 25 % enregistrés en 2020. Le travail à distance est invoqué pour expliquer cette hausse. À titre d’exemple, Tesla a découvert qu’un ingénieur logiciel en assurance qualité avait volé des milliers de fichiers contenant des secrets commerciaux en les transférant sur un compte Dropbox privé. De nombreux prestataires de soins de santé ont aussi été victimes de fuites de données dues à l’envoi accidentel d’informations de santé protégées à des destinataires non autorisés.

Enfin, les problèmes de système ou de logiciel sont une autre cause fréquente de fuite de données. Ainsi, une erreur logicielle dans un portail fiscal du gouvernement danois a exposé les numéros d’identification fiscale de 1,26 million de citoyens du pays sur une période de cinq ans. Chaque fois qu’un contribuable mettait à jour les détails de son compte, un numéro d’identification était ajouté à l’URL de la page puis était ensuite collecté par Adobe et Google, chargés d’effectuer des analyses sur le site.

Une sécurité renforcée

La première étape pour prévenir les fuites de données consiste à identifier les données qui peuvent être librement partagées et à déterminer avec précision les personnes autorisées à accéder aux autres informations stockées. En recourant à l’exploration et à la classification des données, une entreprise est en mesure d’organiser toutes ses données en catégories, afin de les protéger de manière adéquate. Néanmoins, elle ne sera pas en mesure de déterminer ses points les plus vulnérables si elle n’évalue pas, ni ne gère, régulièrement les risques.

Ensuite, il convient de déployer les contrôles de sécurité appropriés. Les pratiques à déployer en priorité incluent ainsi : la gestion des identités et des accès (IAM), un cadre qui permet aux entreprises de mettre en œuvre et de gérer des politiques d’accès aux informations sensibles ; le chiffrement, qui consiste à coder des données de manière à ce qu’elles ne puissent pas être lues même si elles tombent entre de mauvaises mains ; la gouvernance de l’accès aux données, qui comprend l’application du principe du moindre privilège pour veiller à ce que les utilisateurs ne disposent que des autorisations d’accès dont ils ont besoin pour effectuer leur travail ; la gestion des modifications et l’audit, qui peuvent aider à éviter les erreurs de configuration et autres failles de sécurité ; mais aussi l’analyse du comportement des utilisateurs et des entités (UEBA), qui permet de repérer les activités inhabituelles susceptibles d’entraîner une fuite de données.

Sensibiliser tous les employés à la sécurité est en outre un pan clé d’une stratégie de cybersécurité renforcée. En effet, ne pas connaitre les règles de sécurité induit un fort risque de compromissions. Afin de réduire les erreurs susceptibles d’être onéreuses, il est conseillé d’organiser régulièrement des formations à la sécurité à destination de tous les employés, y compris les cadres. La détection rapide d’une activité irrégulière peut aussi permettre d’éviter une fuite de données ou d’en réduire l’ampleur. Par exemple, les alertes sur les modifications des paramètres de configuration critiques peuvent aider à corriger immédiatement une faille de sécurité, et repérer un utilisateur qui copie des données sensibles sur une machine locale permet d’intervenir avant que cette dernière ne quitte les locaux. Enfin, il convient de mettre en place un processus précis pour récupérer tout contenu perdu lors d’une fuite de données. Pour ce faire, il faut instaurer et tester un plan de récupération complet pour toutes les informations importantes.
___________________

Par Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix