Beaucoup d’entreprises pensent être en sécurité avec un VPN, une authentification multifactorielle, une détection des anomalies et des formations de prévention pour leurs employés. Pourtant, elles peinent à conserver la maîtrise et la visibilité sur la quantité et la nature des informations qu'elles collectent, de ce qu'elles en font, combien de temps elles les conservent, et où elles les stockent.
Le phénomène des « dark data »
Dans le secteur de l’IT, ces informations collectées et/ou créées sont ensuite stockées dans des installations qui échappent à leur maîtrise et à leur protection, sont appelées des dark data. Un des effets collatéraux de ce phénomène est l’impossibilité pour les utilisateurs de savoir où aboutissent les informations qu'ils ont partagé au sein d’une entreprise.Une intrusion dans un système peut germer à partir d’une action inoffensive. Par exemple, le simple fait de prendre une photo d'un rapport de revenus confidentiel via son téléphone puis de prendre appel Zoom depuis ce dispositif, suffisent pour ouvrir un accès aux hackers et vous expose à une compromission.
Pourquoi est-ce si inquiétant ?
Nous assistons à un changement fondamental dans les responsabilités fiduciaires d'une entreprise. Les données et les informations ont toujours été considérées comme une transaction : une entreprise a besoin de l’argent et des informations d'identification personnelle du consommateur pour que ce dernier puisse recevoir des biens ou des services. De nombreux acheteurs, notamment en ligne, les partagent sans nécessairement imaginer les conséquences possibles du fait de leur confiance quasi systématique aux entreprises.À présent, les entreprises doivent prendre en compte que cette confiance implicite pour la collecte de données d'identification personnelles, les lie et les oblige aux yeux de la loi. Dans de nombreux pays, le fait de faire passer l'intérêt du consommateur avant celui de l’entreprise l’oblige à appliquer certaines règles de bonne foi et à s’impliquer. Pourtant, il existe encore des entreprises qui négligent la protection de leurs données et celles de leurs utilisateurs, quitte à les mettre en danger et à s’exposer à de nombreux risques en cascade : des attaques ransomware à la dégradation de leur image de marque, en passant par des frais juridiques(ou des amendes) et de mise en conformité, ou encore des situations de crise.
À l’instar de beaucoup de pirates, l’attaquant d’Uber a voulu relever le défi et briller aux yeux de ses pairs, sans aller plus loin dans le méfait. Pourtant, cette intrusion a eu de fortes conséquences pour l’entreprise. À l’annonce du piratage, l’action a chuté de 5 % et a déclenché des remous sur le marché boursier. Si des données et des informations avaient été volées, la situation aurait pu être bien pire.
La gouvernance des données en question
Qu’importe la taille de l’entreprise – qu’il s’agisse d’un énorme groupe comme Uber ou une structure plus petite, toutes les entreprises devraient se poser un certain nombre de questions essentielles. Elles doivent s’interroger (et savoir le cas échéant) où se trouvent les informations conservées, pendant combien de temps elles le sont ou encore qui y a accès. De plus, il faut également s’interroger sur la relation des salariés avec les données au sein de l’entreprise ; que ce soit sur le fonctionnement et les bonnes pratiques à suivre en termes de partage d’informations, la responsabilité et la surveillance des données, et surtout les risques encourus en cas de négligence de leurs gestions.Le piratage d'Uber nous rappelle que la gouvernance et la protection des données sont essentielles. Les politiques de gestion de données d'une entreprise déterminent les processus et les rôles de ceux qui interagissent avec les données, ainsi que les exigences et les accréditations à mettre en place pour éviter de se retrouver dans la situation d’Uber. Cette tâche reste difficile et la création de nouveaux canaux de contenu, d'applications de messagerie, d'outils de collaboration, de partage de fichiers et de médias sociaux compliquent les choses pour les entreprises qui devraient pourtant garder une longueur d’avance. Cependant, même siles réglementations gouvernementales évoluent rapidement et se veulent plus coercitives – les méthodes des hackers se veulent l’être, elles aussi.
Par Jean-Pierre Boushira, VP South EMEA, Benelux & Nordics chez Veritas Technologies