Qu'est-ce que la sécurité des données ?

À l’ère du tout digital, la question de la sécurité des données est devenue un enjeu crucial pour les entreprises - un défi rendu encore plus urgent par l’annulation du Privacy Shield qui limitait jusqu’alors les pouvoirs ​​du Cloud Act au regard du RGPD, ainsi que par les conséquences de la récente crise sanitaire.

Selon le rapport d'enquête sur les violations de données en 2020 publié par Verizon, 70% des violations de données observées ont été commises par des personnes extérieures à l’entreprise, et 86% d’entre elles ont été motivées par l’appât du gain.¹ Cette menace invisible est donc particulièrement préoccupante pour toutes les organisations, quelle que soit leur taille. Si les grandes entreprises sont particulièrement ciblées, les petites ne sont pas en reste : 43 % des cyberattaques enregistrées étaient à l’encontre de petites structures.² 

Le sujet de la « data » n’est plus l'apanage de spécialistes. Les données sont partout, de la généralisation du cloud computing à l’intelligence artificielle en entreprise. D’où l’importance de bien comprendre ce qu’est la sécurité des données et d’adopter de bonnes pratiques pour protéger votre entreprise.

Définition de la sécurité des données

La sécurité des données consiste à mettre en place des mesures préventives - à la fois techniques et technologiques - afin de protéger les données de certaines atteintes comme un accès non autorisé, une perte accidentelle, une destruction ou une exfiltration. La sécurité des données représente l’une des tâches les plus importantes à gérer pour les services IT de toutes les entreprises, petites ou grandes. Au cœur de la sécurité des données, trois éléments sont à retenir :

• La confidentialité : les données ne sont accessibles que par autorisation.
• L’intégrité : les données sont authentiques et précises.
• La disponibilité : les données sont accessibles et adaptées aux besoins de l'entreprise.

Sécurité des données vs. confidentialité des données

Si la confidentialité des données est liée à la sécurité des données, il ne faut pas confondre ces deux termes. La confidentialité des données concerne le droit à contrôler ses données personnelles et la façon dont elles sont utilisées alors que la sécurité des données concerne la façon dont les données sont protégées. Depuis le 25 mai 2018, le Parlement européen a voté la Règlement Général sur la Protection des Données (RGPD) qui encadre le traitement des données de manière égalitaire sur tout le territoire européen.³

Cette loi concerne toutes les structures, privées ou publiques, qui collectent ou traitent des données, quelle que soit leur taille ou leur activité. Elle s’adresse aux entités établies sur le sol européen et aux entités internationales qui collectent les données de résidents européens, même situées hors UE, ainsi qu’à tous les sous-traitants. Ainsi, pour garantir la confidentialité des données, et donc respecter la loi, les entreprises doivent investir dans la sécurité des données.

Quelle est l'importance de la sécurité des données en entreprise ?

La collecte et l’exploitation des données sont devenues en quelques années le nerf de la guerre pour les entreprises. Le « Big Data » et l’analyse prédictive leur offrent des opportunités inestimables pour croître plus rapidement. S’assurer de la sécurité des données est donc primordial, et en voici les raisons principales : 

1. Pour assurer la survie de l’entreprise

Imaginez que vous vous réveillez un matin et constatez que toutes les données de votre entreprise ont disparu. Dans ce scénario catastrophe, il est probable que votre entreprise cesserait d’exister du jour au lendemain. Les experts prédisent que la quantité de données générées va augmenter exponentiellement. Selon un rapport de l’IDC, la datasphère mondiale atteindra 175 zettabits d’ici 2025, soit une augmentation de 61 % par rapport à aujourd’hui.⁴ Si on devait disposer ces données sur des disques Blu-ray, la pile mesurerait l'équivalent de 23 fois la distance entre la Terre et la Lune.

Les données étant devenues le moteur du fonctionnement des entreprises et de tout un écosystème, il est impératif de les protéger et d’avoir un “back up” en cas de perte de manière à assurer la continuité de l’entreprise.

2. Pour gagner la confiance de ses clients et employés

L’entreprise qui détient des données sur ses clients et ses employés a la responsabilité de les protéger. Si elle ne garantit pas cette protection via la sécurité des données, l’entreprise s’expose à : 

• Une perte de confiance de l’opinion publique
• De graves pertes financières
• Une mauvaise réputation
• Des poursuites judiciaires
• Une baisse future de ses profits

Le coût des cyberattaques s’élève à 200 000 dollars en moyenne, forçant de nombreuses entreprises à mettre la clé sous la porte.⁵ Le cas de Sony, avec 77 millions de comptes hackés sur la Playstation en 2011, reste dans les annales des cyberattaques de grande ampleur.⁶ La société avait dû régler une amende de 2 milliards de dollars suite à une « class action » menée contre elle. L’un des pires scandales en termes de hacking.

Dès le début des années 2000, cinq grands fournisseurs de cartes bancaires ont mis en place le Data Security Standards afin de lutter contre les hackers.⁷ Composé de 12 prérequis pour la sécurité des données, cette régulation doit être respectée par toutes les entreprises qui ont des transactions de débit et crédit. Difficile donc de passer outre les questions autour de la sécurité des données lorsque l’on est une entreprise.

3. Pour lutter contre des cyberattaques de plus en plus sophistiquées

La cybercriminalité n’échappe pas au progrès et les hackers emploient des méthodes de plus en plus sophistiquées pour attaquer les entreprises. Certaines attaques sont même menées par des bots et programmées. Citons, par exemple, les attaques DDoS qui vont venir inonder les serveurs web de requêtes jusqu’à rendre le site internet indisponible : une attaque particulièrement paralysante pour un site de e-commerce. L’hameçonnage ou « phishing » (se faire passer pour un administrateur de l’entreprise) ou le ransomware (attaque par pièces jointes) font également partie des actes de cybercriminalité les plus fréquents en entreprise. 

Entre mi-avril et mi-juin 2020, en pleine pandémie de COVID-19, Interpol et Europol ont lancé une alerte après avoir constaté 192 000 cyberattaques par semaine depuis mi-avril, soit une hausse de 30 %.⁸ En seulement une semaine, Google a identifié plus de 18 millions de malwares et phishing par jour depuis le début de la crise sanitaire.⁹ 

Avec la mise en place urgente du télétravail et donc de systèmes moins sûrs, la situation pour les entreprises est aujourd'hui délicate et rappelle de manière encore plus forte toute l’importance de la sécurité des données. Une sécurité minimale ou pas de sécurité du tout revient à laisser la porte de son entreprise grande ouverte à quiconque voudrait rentrer. 

Quelles bonnes pratiques et mesures les entreprises peuvent adopter pour assurer la sécurité des données informatiques ? 

Face à l’importance de la sécurité des données, les dirigeants peuvent se retrouver noyés sous le flot des informations et acculés par l’urgence de la question. Au vu de la menace invisible qui peut coûter très cher, se tenir informé, appliquer une stratégie adaptée à son entreprise et recruter des experts en la matière est primordial. 

Selon une étude, 69 % des entreprises n’ont pas mis à jour leur stratégie de sécurité depuis 3 ans ou plus.¹⁰ Autre étude alarmante, sur 400 petites entreprises interrogées, 27 % n’ont aucun protocole sécuritaire en place.¹¹ Mettre en place une stratégie de sécurité des données forte et agile afin de s’adapter aux nouvelles techniques de hacking est essentiel. Voyons 5 étapes stratégiques afin d’y parvenir avec succès.

1. Identifier toutes les ressources IT de son réseau

La stratégie de défense commence par l’identification des ressources à disposition et ce qu’il y a à protéger. Un inventaire des appareils utilisés par l’entreprise (photocopieurs, appareils de l’Internet des Objets, appareils mobiles…) ou les tiers - car leurs appareils peuvent servir de porte d’entrée pour pirater les vôtres - est la bonne marche à suivre.¹² 

Une fois l’inventaire des appareils connectés à Internet effectué, il faudra identifier les logiciels comme les systèmes d’exploitation utilisés. Cela permettra de savoir quoi modifier et quand. S’assurer que les systèmes ont le moins de complexité possible et un maximum de compatibilité est une stratégie forte qui permettra de renforcer au maximum la sécurité des données. 

2. Identifier les risques

Une fois à jour sur ce que contient votre réseau, il vous faudra identifier et évaluer les risques sur chaque appareil en :

• Caractérisant les systèmes
• Identifiant les menaces
• Déterminant les risques et impacts
• Analysant l'environnement de contrôle
• Déterminant la côte de probabilité 
• Calculant le risque et lui attribuant une note

Une fois les risques identifiés, il faudra les prioriser selon leur sévérité et leur résolution de manière à combler les fossés en termes de cybersécurité. 

3. Mettre en place une politique d’accès

Les utilisateurs au sein du réseau de l’entreprise sont également un risque pour différentes raisons comme : une utilisation abusive de leur accès, un partage de données avec des sources inconnues, la proie d’un phishing. 

En classifiant toutes les données de l’entreprise gérées et en appliquant une politique d’accès par des contrôles et outils spécifiques, il est possible de limiter les risques. Ainsi, en limitant l’accès au sein même de l’entreprise, en cas de piratage, ce ne sont pas toutes les données qui seront compromises, mais seulement celles qui étaient accessibles à l’individu piraté. 

L’authentification à plusieurs facteurs est également un bon moyen de protéger les données en ajoutant des mesures d’authentification multiples. En plus d’un mot de passe, un deuxième voire troisième facteur d’authentification sera nécessaire pour obtenir l’accès comme une empreinte digitale, une authentification par SMS ou vocale.

4. Établir un plan précis en cas d’attaque

Malheureusement, aucun système de sécurité n’est infaillible. Savoir se préparer en cas d’attaque est primordial afin de réagir à temps et de limiter les dégâts. Tout d’abord, il faut identifier la menace qui prend souvent des formes récurrentes comme les malwares, le phishing, les spams…et savoir répondre vite en la contenant puis en l’éradiquant. 

Ensuite, il faut remettre en cause son système attaqué et étudier ce qui a fait défaut. Se préparer en cas d’attaque en investissant dans un système de détection d’intrusion permettra d’identifier un nouveau risque. En respectant un protocole précis et préventif, l’entreprise pourra ainsi sécuriser ses données de façon optimale.

5. Déterminer qui sera en charge de la stratégie pour la sécurité des données

Un Chief Information Security Officer sera responsable de l'information et de la sécurité des données d’une entreprise. Son rôle sera d’établir une stratégie qui gérera la complexité croissante des régulations et établira des politiques, architectures sécurisées, processus et systèmes afin d’aider à réduire les cybermenaces et garder les données sécurisées.

Il est primordial d’avoir un expert en place pour gérer et coordonner la sécurité des données, mais il est aussi important de former et sensibiliser les équipes à la question de la cybersécurité. Ainsi, toute l’entreprise saura comment réagir en cas d’accident et pourra anticiper les risques. 

Pour aller plus loin : avoir une longueur d’avance sur la cybercriminalité

L’importance des données et la pression des autorités pour les protéger poussent les entreprises à investir dans la sécurité des données. Il est impossible aujourd’hui pour une entreprise de ne pas accorder les moyens humains et financiers pour gérer la sécurité des données. 

Si le sujet est largement médiatisé, son importance ne va faire que s'accroître compte tenu de la digitalisation croissante et rapide des entreprises. Plus ces dernières tenteront de se protéger, plus les hackers trouveront les moyens de passer à travers les mailles du filet pour leur nuire. 

Ainsi, la question n’est pas uniquement de se protéger, mais d’avoir une longueur d’avance sur la cybercriminalité. Pour les entreprises, gagner la guerre contre la cybercriminalité, c’est investir dans les talents humains, des outils et dans une stratégie adaptée à son entreprise et aux impondérables. Dans un monde digital, l’humain reste encore décisionnaire des choix à prendre pour lutter contre toutes sortes d’attaques invisibles et de plus en plus complexes.

¹ 'Data Breach Investigations Report 2020', Verizon, 2020.

² '15 Alarming Cyber Security Facts and Stats', Cybint Solutions, 2020. 

³ 'Le règlement général sur la protection des données (RGPD), mode d’emploi', Site du Gouvernement, 2019.

⁴ 'The Digitization of the World From Edge to Core', Seagate, 2018.

⁵ 'Cyberattacks now cost companies $200,000 on average, putting many out of business', CBNC, 2019.

⁶ 'Case study: Sony, Zurich and the PlayStation data breach', Herzog Fox & Neeman, Lexology, 2015.

⁷ 'Types of Data Security Standards', RSI Security, 2018.

⁸ 'Coronavirus cyber-attacks update: beware of the phish?', Check Point, 2020.

⁹ 'Google saw more than 18 million daily malware and phishing emails related to COVID-19 last week', The Verge, 2020.

¹⁰ '69 Percent of Companies' Security Solutions Are Outdated, Inadequate', eSecurity Planet, 2017.

¹¹ 'The Need for Greater Focus on the Cybersecurity Challenges Facing Small and Midsize Businesses', U.S Securities and Exchange Commission, 2015.

¹² 'Internet des objets', Futura Tech.

Robert Mitson

A propos de l'auteur

Robert est passionné par la création de valeur et la communication. En tant que spécialiste du contenu anglais, il créé de nouvelles perspectives pour aider les dirigeants dans toute l'Europe à faire en sorte que chaque réunion compte.