Dans la bataille de la protection des données clients, les entreprises ne sont pas sur le chemin de la victoire. En 2016, les données personnelles ont été les plus touchées, représentant 53% des attaques au global[1]. Avec des usurpations toujours plus importantes, les utilisateurs sont de plus en plus sceptiques quant à la capacité des entreprises à pouvoir protéger leurs informations.
Selon une récente étude mondiale menée par Gemalto[2], 75% des utilisateurs pensent que les entreprises ne prennent pas au sérieux la question de la sécurité des données. Cela représente une hausse de 50% par rapport à l’an dernier. L’étude révèle également que 64% d’entre eux ont peu de chance de faire appel à des entreprises au sein desquelles des données financières ou sensibles ont fait l’objet d’un vol. Un chiffre qui s’élève à 50% dans le cas où les données volées sont non sensibles. Un constat que les entreprises ne peuvent ignorer.
La confiance représente ici le principal enjeu. Elle est l’un des liens fondamentaux existant entre les clients et les enseignes avec lesquelles ils sont en contact. Cette confiance peut revêtir de nombreuses formes au niveau de la relation acheteur-vendeur. Il pourra s’agir notamment de la confiance d’un client quant à la capacité d’une société à proposer un produit de qualité, fiable et répondant parfaitement aux besoins des consommateurs. Au final, la confiance se construit au fil du temps en répondant systématiquement aux attentes des clients. Les enseignes qui développent un tel niveau de confiance pourront les fidéliser, et ce malgré l’émergence de nouveaux acteurs.
Alors que notre monde se digitalise, la fidélité à une marque dépendra de sa capacité à pouvoir assurer la sécurité des données numériques de ses clients. Avec le temps, cette condition pourrait même devenir le critère de sélection N°1. Cependant, et si certains changements ne venaient pas à s’opérer, les entreprises pourraient être confrontées à de nombreux défis en termes de sécurité des données et de confiance numérique.
Tout d’abord, en tant que consommateurs, nous partageons de plus en plus nos informations privées afin de tirer profit des nouveaux services digitaux qui nous sont proposés. Il s’agit aussi bien des services bancaires en ligne, des réseaux sociaux, que des plateformes permettant de stocker nos documents et nos photos. Certaines études[3] estiment que les individus âgés entre 24 et 34 ans disposent en moyenne de 40 comptes en ligne.
D’autre part, nous sommes davantage exposés aux attaques des cybercriminels de par nos multiples connexions via nos smartphones, téléviseurs, montres, voitures et autres appareils connectés. Et il ne s’agit là que des prémices de l’explosion du marché de l’IoT (Internet of Things). Selon Gartner, ce seront près de 13,5 milliards d’objectés connectés qui seront utilisés en 2020.
En tant que citoyens numériques, nous devons renoncer à nos identités et nos informations personnelles afin de pouvoir profiter pleinement des avantages offerts par ces nouveaux services, qui nous permettent d’avoir un accès universel à l’information à tout moment, et en tout lieu. En conséquence, le cloud connecté et la nature mobile de nos vies numériques impliquent que la sécurité de nos informations soit tributaire de celle des terminaux mobiles (ou de son absence) et par extension, des services et des entreprises qui les proposent.
Le monde numérique a déstructuré les notions traditionnelles de sécurité des données. Durant les deux dernières décennies, les entreprises ont protégé les données en les conservant à un seul et même endroit – à savoir au sein d’un data center protégé par un pare-feu et doté d’une détection d’intrusion et des technologies AV et SIEM. Fondamentalement, la sécurité consistait à construire un périmètre autour des données et de surveiller toutes les tentatives visant à compromettre celui-ci. Cette vision des choses ne peut plus s’appliquer dans un contexte où le cloud et la mobilité ont totalement détruit les notions traditionnelles d’allocation des données et d’accessibilité. Ces dernières sont maintenant fluides, « vivantes » et accessibles quel que soit l’endroit.
Le cloud, la mobilité et l’Internet des objets ont un impact majeur sur la sécurité des informations. Toutefois, les entreprises, les gouvernements et autres organisations continuent de se battre contre les cybercriminels en ayant recours à des stratégies défensives qui se sont avérées jusqu’ici inefficaces. La vérité est que la simple prévention du vol de données n’est plus envisageable.
Il n’y a rien de mal à vouloir assurer la sécurité du périmètre. De fait, c’est une stratégie qui reste importante, mais elle ne peut représenter le seul moyen de défense des entreprises. Celles-ci doivent prendre conscience qu’elles et leurs produits seront attaqués. Dans un monde où la ligne de front défensif est passée du réseau de l’entreprise et du data center aux utilisateurs et aux terminaux qui leur permettent d’accéder aux données, la sécurité doit également intervenir sur ces nouveaux territoires. Cela est d’autant plus complexe que le nombre d’appareils utilisés ne cesse de se multiplier et que les environnements de données à défendre sont très diversifiés.
Pour s’adapter à cette nouvelle réalité, il est nécessaire de développer une nouvelle vision de la sécurité des données. Les entreprises doivent accepter que les vols sont inévitables et qu’il est indispensable d’élaborer des stratégies visant à sécuriser la brèche lorsque les défenses du périmètre sont tombées.
Pourquoi le rôle de la confiance est-il aussi important ? Avec la forte digitalisation des entreprises, la relation de confiance en matière de sécurité des données devrait être au cœur des préoccupations des dirigeants et des conseils d’administration des entreprises.
Forrester prédit que deux à trois dirigeants seront forcés de quitter leurs fonctions à la suite de vols de données en 2016 et certaines entreprises voient déjà leurs résultats financiers affectés par ce type d’attaques.
En conclusion
Les entreprises et les terminaux mobiles collectent aujourd’hui de plus en plus d’informations sur leurs utilisateurs, mettant en danger les données sur ce qu’ils font et qui ils sont. Jusqu’à présent, ils n’étaient pas préoccupés par le vol de leur numéro de carte de crédit, du fait des protections intégrées déjà existantes. Ceci étant dit, leur état d’esprit pourrait changer si les pirates mettaient la main sur l’ensemble de leurs données personnelles, pouvant ainsi s’introduire chez eux, compromettre la sécurité de leur véhicule ou encore usurper leur identité. Dans un avenir très proche, le sujet de la confiance en matière de sécurité numérique devrait monter en puissance, et ce d’autant plus que nous évoluons dans un univers ultra connecté où elle peut être rapidement perdue de vue.
________
Philippe Carrère est Directeur de la protection des données et de l’identité, Europe du Sud, chez Gemalto
[1] Source : Résultats du 2015 Breach Level Index 1er semestre de Gemalto
[2] Source : Customer Loyalty and Data Breach Report
[3] Source : Experian