lundi 6 septembre 2010

Perte de données : le risque interne. Quelles réactions ?

Une étude récente vient confirmer toute l’importance du facteur humain au niveau de la perte ou du vol de données en entreprise.
Cette étude, menée par Harris Interactive et réalisée aux USA et en Grande Bretagne auprès de plus de 1600 personnes montre que :
  • Pratiquement la moitié des sondés avouent qu’ils seraient prêts à prendre des biens de l’entreprise qui les emploie en cas de départ (49% des américains et 52% des Britanniques). Ils reconnaissent clairement qu’ils « prendraient » bien volontiers des biens appartenant à l’entreprise qui les emploie s’ils devaient quitter leur poste ou être licenciés.
  • 29% (USA) et 23% (UK) n’hésiteraient pas à subtiliser des informations des bases de données, notamment les coordonnées des clients
  • 23% aux USA et 22% au Royaume-Uni copieraient certains fichiers pour une utilisation ultérieure.
  • 15% (USA) et 17% (UK) quitteraient l’entreprise avec des informations produits, y compris des dessins et plans.
  • Enfin, 13% (USA) et 22% (UK) se serviraient dans les stocks de fourniture de bureau.

On sait très bien que les portables et autres smartphones ont tendance à être perdus ou volés avant les départs et donc jamais restitués, conservant des données sensibles qui échappent ainsi frauduleusement à l’entreprise. Les recopies de fichiers via des clés USB sont également très tendance.
En France, le phénomène des pertes ou vols de données n’est pas mesuré. Le thermomètre n’existe pas encore. Contrairement aux Etats-Unis ou au Royaume-Uni, les entreprises n'ont pas l'obligation de révéler les vols et les pertes de données les affectant. Elles rechignent à diffuser l’information, ne serait ce que pour épargner leur image de marque. Les utilisateurs ou clients ne savent donc pas que leurs données ont été divulguées.

La loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) devrait s’attaquer à ce problème. Une application plus stricte et systématique des textes régissant la Commission Nationale Informatique et Libertés permettrait également de régler la plupart des difficultés en s’attaquant aux failles de sécurité qui ne sont pas prises en compte correctement par les entreprises négligentes

Dans les pays où ces déclarations sont obligatoires, les amendes pleuvent : pour avoir égaré les données personnelles de près de 46 000 clients, la filiale britannique du groupe d’assurance Zurich (ZFS) vient de se voir infliger une amende de 2,28 M£ par la FSA (Financial Services Authority).

En attendant que le législateur joue son rôle, certains citoyens, inquiets de voir leurs données divulguées ont créé des structures d’alerte comme le site Databreaches (Office of Inadequate Security) qui tente de dresser une liste, malheureusement non exhaustive, des incidents de ce type.

On y apprend notamment que les données personnelles de milliers de fans de football qui ont acheté des billets de la Coupe du monde sur les points de vente officielle de la FIFA ont été volées et vendues à hauteur de £ 500.000. Les détails d’identité et les données bancaires de près de 20.000 citoyens américains, 36.000 ressortissants suisses, 42.000 portugais et 36.000 supporteurs néerlandais, ainsi que des milliers d'autres partisans de la Pologne, d’Italie, d’Allemagne, de France, d’Espagne et Croatie n’étaient pas suffisamment protégés.

S’il faut vivre avec ce risque inhérent au développement rapide et exponentiel des nouvelles technologies, on doit cependant réagir car des moyens existent pour faire face à ce phénomène.

C’est certainement une vigilance accrue au niveau du personnel (sensibilisation, formation, charte d’utilisation, déontologie, contrôles accrus des usages et liens avec l’extérieur) qui est seule en mesure d’assister tous les moyens techniques (Data Loss Prevention en particulier) mis en œuvre pour contrecarrer les pertes de données. D’autant qu’avec l’essor des réseaux sociaux et la connexion des utilisateurs sur leur lieu de travail, les pirates tenteront de récupérer plus facilement et massivement des données sensibles. Il est plus que temps de s’attaquer à ce vrai problème trop souvent négligé voire nié.