Comment les données de votre entreprise peuvent être vulnérables : trois scénarios

Les atteintes graves à la sécurité des données sont en hausse. Cet été un réseau criminel russe a volé 1,2 milliard de codes d’utilisateurs et de mots de passe et un demi-milliard d’adresses de courriel à différentes organisations du monde entier. Selon une étude menée en 2014 par le Ponemon Institute, 36 % des entreprises canadiennes interrogées ont déclaré qu’au cours de l’année précédente, leurs réseaux ou leurs systèmes avaient été infiltrés à la suite d’une attaque importante. À l’échelle mondiale, la proportion était de 44 %. La taille de l’entreprise importe peu : même les plus grandes entreprises et entités peuvent être victimes de piratage.

Il est essentiel de protéger adéquatement vos données, car le coût d’une atteinte à la sécurité des données peut être astronomique. Le coût moyen global d’une atteinte à la sécurité par enregistrement est d’un peu plus de 130 $, et le coût moyen total par atteinte à la sécurité des données s’élève à environ 5,4 millions $. Ces coûts englobent la réparation des systèmes touchés et l’éventuelle restitution pour les personnes concernées. Il ne faut pas négliger non plus les coûts intangibles, soit ceux liés à la réputation et à la confiance des clients. Les clients vous confient leurs renseignements personnels, et vous avez l’obligation de mériter cette confiance.

Ce n’est pas nécessairement seulement les données qui doivent être protégées; un pirate peut très bien réunir des informations en apparence anodines et établir des liens, ou encore s’en servir pour pénétrer davantage dans votre système. Saviez-vous que, dans les faits, l’erreur humaine et les problèmes de système causent les deux tiers des atteintes à la sécurité des données? Dans certains cas, ce peut être aussi simple que d’utiliser un point d’entrée unique – comme un tiers fournisseur – pour accéder à l’ensemble du système d’une entreprise.

Pour vous expliquer clairement la situation, voici trois scénarios qui illustrent comment l’accès à des données non protégées peut avoir des répercussions en chaîne et ouvrir la porte à d’autres atteintes à la sécurité beaucoup plus graves.

Scénario nº 1 :

Accès à une liste de noms de clients apparemment sans importance. Vous conservez une liste de noms de clients dans une base de données en ligne. Elle ne contient pas de renseignements sur leurs cartes de crédit ou même sur leurs adresses à domicile. Seulement des noms. Les pirates trouvent un moyen d’accéder à la liste et de saisir les noms, téléphonent à votre entreprise en se faisant passer pour ces personnes (vos fidèles clients) et vous amènent à divulguer d’autres renseignements à leur sujet. Grâce à ces renseignements et à tout ce qu’ils peuvent trouver en ligne à propos de ces personnes, ils peuvent relier les éléments et établir des profils pour usurper les identités. Votre entreprise pourrait être tenue responsable d’une telle fuite de données si les clients peuvent prouver qu’il y a eu négligence ou s’ils intentent une poursuite pour dommages et intérêts. D’une façon ou de l’autre, vous serez responsable aux yeux du public.

Scénario nº 2 :

Un ordinateur local est laissé sans protection. Les renseignements de votre entreprise sont stockés dans un serveur sécurisé ou dans le nuage et sont protégés par un service de protection des données qui chiffre les fichiers avant de les stocker ou par un service de sécurité en nuage qui est toujours actif. Cela vous semble suffisant et vous ne protégez pas les ordinateurs qui n’ont pas accès aux renseignements confidentiels. Un pirate sournois utilise l’un de ces ordinateurs soi-disant sans danger pour accéder aux fichiers internes de votre bureau. Une fois qu’il a franchi cette porte arrière donnant accès au système, il lui est plus facile d’accéder à d’autres fichiers de votre entreprise.

Scénario nº 3 :

Les travailleurs mobiles se connectent à l’extérieur du bureau. Vous avez mis en place un certain niveau de protection des données au bureau, mais vous n’avez pas vu la nécessité de protéger les appareils utilisés à l’extérieur du bureau. Une équipe de vente mobile ou un travailleur sur le terrain accède au réseau du bureau à partir d’une tablette ou d’un téléphone intelligent connecté à un réseau Wi-Fi public. Un pirate peut facilement y avoir accès et il a maintenant trouvé une faille pour accéder à des données de votre entreprise qui semblaient pourtant sécurisées.

En conclusion

Les pirates de nos jours sont plus sophistiqués que jamais, et les moyens dont ils disposent pour pénétrer dans vos systèmes en ligne sont nombreux. Quelle que soit la nature de votre entreprise, toute atteinte à la sécurité des données constitue une violation des renseignements privés de votre entreprise – et de vos clients.

Soyez toutefois rassuré : il est facile de se protéger et de tenir les pirates à distance. Les services de protection peuvent comprendre un service de sécurité en nuage toujours actif, un anti-logiciel malveillant, un anti-logiciel espion et la sécurité du courriel, la sauvegarde des fichiers importants et la récupération des données perdues (si vous devez effacer complètement les données d’un ordinateur en raison d’une attaque, par exemple). Il est possible de protéger ses données de différentes façons, en protégeant l’ordinateur dans lequel les données sont stockées ou par le chiffrement des données et le stockage à distance, par exemple.

Quelles mesures avez-vous prises pour protéger les données de votre entreprise? Dites-le-nous dans la section des commentaires ci-dessous.