La donnée enregistre une croissance vertigineuse : le volume de data géré par les entreprises double tous les deux ans. Et cette tendance s’accélère. En parallèle, le niveau de risque augmente exponentiellement. Les individus malveillants se renforcent et poursuivent leurs activités de déstabilisation.
Les rançongiciels se sont notamment multipliés en 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents.
Notons une hausse visible des menaces ciblant les données des entreprises de services numériques (ESN): +146% d’événements touchant les ESN entre 2020 et 2022 (Panorama de la cybermenace 2022, ANSSI).
Grands groupes, PME et TPE, établissements de santé, collectivités territoriales… Aucune organisation n’est à l’abri de tels sinistres.
Dans ce contexte, la sécurité des données constitue l’un des enjeux majeurs auxquels font face les organisations qui manipulent des informations personnelles, sensibles ou stratégiques.
Il est en effet primordial d’assurer la protection de ces données contre les accès non autorisés, les violations, les attaques cyber et les cas de négligence humaine – autant d’événements susceptibles de nuire à l’entreprise, avec un coût financier (et surtout réputationnel) particulièrement élevé.
Un défi d’autant plus complexe que les données sensibles sont désormais fragmentées, réparties sur l’ensemble du système d’information et des applications (machines et serveurs on premise, services de Cloud public ou privé, infrastructure locale de type Edge, etc.).
Dans cet article, nous vous proposons de répondre à une question clé pour les entreprises – c’est quoi, la sécurité des données ? – en abordant les différents aspects de cette problématique : enjeux, risques, bonnes pratiques et solutions dédiées à la sécurité des données personnelles ou professionnelles.
Qu’est-ce que la sécurité des données ?
La notion de sécurité des données regroupe l’ensemble des moyens employés pour protéger les informations numériques contre les accès non autorisés, les compromissions et les vols, tout au long de leur cycle de vie.
Avec un triple objectif : garantir la confidentialité, l’intégrité et la disponibilité des données de l’entreprise – qu’il s’agisse des informations sensibles et/ou stratégiques de l’organisation ou des données à caractère personnel collectées auprès de ses clients ou de ses partenaires.
Cette démarche de protection des données s’étend à tous les aspects de la sécurité de l’information : sécurisation des infrastructures physiques et matérielles (ordinateurs, supports de stockage externe, serveurs, infrastructure réseau…), sécurité des systèmes d’information et des applications, contrôle des accès, traçabilité des actions réalisées par les utilisateurs, politiques internes (procédures et bonnes pratiques en matière de sécurité des données), et souveraineté des données.
Le cloud privé SecNumCloud
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
La politique de sécurité des systèmes d’information mise en œuvre pour protéger les données au sein d’une entreprise s’applique également au responsable du traitement des informations, lorsque celui-ci est différent.
À titre d’exemple, un fournisseur de services Cloud doit lui-même appliquer les mesures de sécurité indispensables en vue d’assurer la confidentialité, l’intégrité et la disponibilité des données dont il a la gestion.
Qu’est-ce qu’une donnée sécurisée ?
Par définition, une donnée sécurisée est une donnée mise à l’abri de tout risque informatique ou humain : perte, vol, violation de données, négligence humaine, acte de malveillance, utilisation frauduleuse, corruption ou compromission de l’information, vulnérabilité aux sinistres pouvant toucher les locaux ou les serveurs, ou encore actions légales menées par les autorités (dans le cadre du Cloud Act aux USA, par exemple).
Pourquoi la sécurité des données est-elle cruciale ?
Dans un contexte où la quantité de données que les entreprises produisent, manipulent et stockent ne cesse d’augmenter, une politique de bonne gouvernance de la data est plus que jamais nécessaire.
Un environnement informatique fragmenté et des risques élevés
Au-delà de la hausse hyperbolique du volume de données, il faut noter que l’environnement informatique est plus complexe qu’autrefois : machines sur site, services de stockage en ligne (Cloud public, Cloud privé ou Cloud hybride), serveur de stockage en réseau de type NAS, infrastructure locale de type Edge, etc.
Ce faisant, le périmètre à sécuriser est toujours plus vaste, et cette fragmentation multiplie le nombre de points d’entrée pour les pirates informatiques.
Or, les risques sont à la fois plus variés et plus sophistiqués : cyberattaques, actes de malveillance, négligences internes…
Les données volées aboutissent à des demandes de rançon, sont divulguées au grand public, revendues sur le Dark Web, ou encore utilisées de manière frauduleuse par les cybercriminels (à l’instar des données bancaires).
Pour l’entreprise, ces défaillances en matière de sécurité des données ont un impact sur la réputation : on ne fait pas confiance à une organisation dont la politique de sécurité est poreuse.
Des utilisateurs plus attentifs à la protection des données personnelles
En parallèle, les consommateurs sont aujourd’hui plus attentifs à la protection des données à caractère personnel.
Des réglementations ont vu le jour pour répondre à ces enjeux récents, à l’image du RGPD au niveau européen et des deux versions de la loi « Informatique et Libertés » en France (la première version du texte a notamment conduit à la création de la CNIL, l’organe de contrôle national pour la sécurité des données numériques).
Protection des données : des risques financiers à ne pas négliger
Les enjeux relatifs à la sécurité des données sont aussi financiers. La valeur commerciale de la data n’a jamais été aussi élevée.
Une violation de données peut avoir des conséquences significatives, avec la remise en cause d’accords commerciaux ou la perte d’une propriété intellectuelle.
Le coût moyen d’une brèche de sécurité est de 4,05 millions d’euros en 2023 (Cost of a Data Breach Report, IBM), et de 4,8 millions d’euros pour les organisations qui se reposent sur des systèmes d’information complexes.
À cela, il faut ajouter les sanctions pécuniaires appliquées par les autorités aux entreprises qui ne respectent pas les exigences du RGPD en matière de protection des données des utilisateurs : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Quels risques pèsent sur les données sensibles des entreprises ?
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) n’a de cesse d’attirer l’attention des organisations sur les menaces cyber.
De fait, les risques qui pèsent sur les données sensibles des entreprises sont à la fois plus variés et plus sophistiqués qu’autrefois, et nécessitent d’implémenter des solutions de sécurité toujours plus performantes.
La sécurité dans la mise en œuvre de votre cloud privé
Découvrez dans cet ebook les grandes étapes pour la mise en place d’un cloud dans votre entreprise.
Voici les trois types de cyberattaques les plus fréquentes, à prendre en compte dans votre politique de sécurité des données.
Le vol de données sensibles
Le vol de données personnelles ou professionnelles peut prendre de nombreuses formes :
- obtention du mot de passe d’un utilisateur pour pénétrer dans le système d’information,
- attaque dite de « l’homme au milieu » (un tiers s’insère dans un réseau de communication afin de capter les échanges confidentiels),
- arnaques qui s’appuient sur la crédulité des collaborateurs (comme « l’arnaque au président » par laquelle un pirate informatique pousse un utilisateur à divulguer des informations),
- utilisation de malwares (logiciels malveillants) pour collecter des informations au sein des systèmes d’information des entreprises.
Les attaques par phishing
La pratique du phishing (hameçonnage) consiste à usurper l’identité d’un tiers pour pousser un utilisateur à divulguer des informations personnelles ou professionnelles, à ouvrir une pièce jointe contenant un malware, ou encore à cliquer sur un lien renvoyant vers une page non sécurisée. C’est la cyberattaque la plus commune : en 2022, 74% des entreprises ont déclaré le phishing comme vecteur d’entrée principal pour les attaques subies, selon le baromètre annuel du CESIN.
Les ransomwares
Les rançongiciels représentent un véritable enjeu pour la sécurité des données : leur nombre a augmenté de 95 % rien qu’en 2021 selon l’organe dédié du gouvernement. Le ransomware s’appuie sur un principe très simple : un pirate informatique bloque le système d’information d’une entreprise ou le poste de travail d’un collaborateur, ou encore interdit l’accès aux données personnelles ou professionnelles, et conditionne la résolution du problème au versement d’une somme d’argent. Les petites et moyennes entreprises sont particulièrement touchées par ce type d’attaque.
RGPD et CNIL : de quoi s’agit-il ?
Le règlement général sur la protection des données (RGPD) est un texte réglementaire européen qui encadre la collecte, le traitement et le stockage des données à caractère personnel dans l’ensemble des pays membres de l’UE.
Entré en vigueur en 2018, il fournit aux organisations des recommandations pour assurer la sécurité des données personnelles, et des bonnes pratiques pour identifier les risques en amont.
La Commission nationale de l’informatique et des libertés (CNIL) est l’organe dédié à la sécurité des données numériques sur le territoire français.
La CNIL accompagne les entreprises dans leur démarche de mise en conformité avec la réglementation (notamment le RGPD) et aide les particuliers à maîtriser leurs données personnelles.
Enfin, la CNIL contrôle la mise en application des exigences réglementaires et sanctionne les organisations dont la stratégie de sécurité des données n’est pas conforme.
Comment assurer la sécurité des données informatiques ?
Pour assurer la sécurité des données numériques, les entreprises doivent s’appuyer sur ces piliers :
- Le choix d’une infrastructure cloud sécurisée pour ses données sensibles (cloud privé, cloud qualifiés …) ;
- L’implémentation d’outils de collaboration sécurisés (des solutions secure by design, des logiciels de confiance, certifiés et/ou qualifiés pour un environnement de travail protégé) ;
- une gestion optimisée des cybermenaces(outils de détection, protocole de gestion de crise, plan de reprise ou de continuité d’activité, souscription d’une assurance dédiée aux risques cyber, etc.).
Quelles sont les bonnes pratiques pour la sécurité des données ?
Les bonnes pratiques en matière de sécurité des données sont nombreuses, et touchent à différents aspects de la problématique (protection des systèmes et des applications, identification et gestion des risques, mise en place de contrôles, etc.).
Toutes les données ne nécessitent d’ailleurs pas le même niveau de sécurité. Voici une sélection des approches à privilégier au sein de votre entreprise afin de protéger vos données les plus stratégiques.
- Une identification des données sensibles de son organisation et la mise en place d’un système de classification interne
- La mise à jour des applications, logiciels et systèmes d’exploitation de l’entreprise, afin qu’ils intègrent en permanence les derniers correctifs de sécurité.
- L’utilisation de technologies qui renforcent la sécurité des données : antivirus, pare-feu, VPN, etc.
- La gestion des accès aux systèmes d’information et aux outils collaboratifs, afin de s’assurer que seules les personnes autorisées puissent manipuler les données sensibles.
- La mise en place d’une politique interne de gestion des risques cyber, avec des contrôles réguliers permettant de sécuriser les bases de données : contrôles d’évaluation de l’état de sécurité, contrôles de détection des comportements anormaux et des menaces, contrôles préventifs, et systèmes d’alertes en cas de non respect des règles de sécurité.
- La sensibilisation des collaborateurs à la sécurité des données et à ses enjeux, accompagnée de formations concrètes qui présentent les bonnes pratiques à adopter. Quelques exemples : changer régulièrement de mot de passe, ne pas ouvrir d’e-mail suspect ni cliquer sur des liens inconnus, bannir les sites non sécurisés, ne jamais divulguer d’informations sensibles par voie électronique (même si la demande émane d’un supérieur hiérarchique), etc.
- La réalisation de sauvegardes régulières des données sensibles et stratégiques, afin de pouvoir les restaurer au plus vite en cas de sinistre ou d’attaque.
Bien entendu, ces bonnes pratiques en matière de sécurité des données ne seraient rien sans l’utilisation d’outils collaboratifs parfaitement sécurisés comme une digital workplace.
Quelles sont les solutions de sécurité des données adaptées aux entreprises
Comme nous l’avons vu, la question de la sécurité des données englobe plusieurs enjeux : l’augmentation du volume de la data, la fragmentation des données sur plusieurs plateformes et systèmes, l’aggravation des risques cyber, la problématique de souveraineté des données…
La collaboration sécurisée
Partagez efficacement vos documents sensibles dans un environnement de confiance.
Les solutions sécurisées Cloud, qu’elles soient logicielles ou d’infrastrucure, doivent répondre à l’ensemble de ces enjeux. Pour cela, elles doivent remplir un certain nombre de conditions :
- Centraliser et consolider les données en provenance de plusieurs sources.
- Assurer la confidentialité et l’intégrité des données via des technologies de chiffrement et des mécanismes d’authentification renforcée.
- Garantir la disponibilité des informations en toutes circonstances.
- Permettre une gestion granulaire des accès et des autorisations.
- Autoriser une traçabilité complète des actions réalisées sur les fichiers stockés ou échangés.
- Garantir la conformité avec les réglementations : RGPD, eIDAS, NIS2, …
- Pouvoir évoluer avec les besoins de l’entreprise en matière d’évolution de flux de donnée, de diversification des plateformes et des outils, et de politique de sécurité.
- Offrir un niveau de sécurité adapté à la criticité des données, via les certifications adéquates : Qualification SecNumCloud, certifications ISO 27001, 27701, HDS par exemple.
- Faire héberger ses données sur le sol français dans un pays de l’Union européenne par un prestataire 100% européen (aux fonds européens, au siège social européen), afin de les immuniser contre les lois extraterritoriales.
Pour faire face à tous ces enjeux, découvrez les solutions collaboratives de confiance Oodrive. Nous éditons des logiciels français sécurisés permettant aux organisations de collaborer, communiquer et fluidifier leur activité. Nos outils qualifiés SecNumCloud, certifiés HDS et ISO27001/701, répondent aux plus hauts niveaux sécurité, de confiance et conformité attendus.