Comment rebondir quand une entreprise a été piratée ? Les dirigeants, pris au dépourvu, sont envahis par un sentiment de panique bien légitime. La catastrophe était pourtant prévisible : chaque année, de nouveaux records de piratage sont franchis.
A titre d’exemple, selon un rapport publié en février 2018 par Risk Based Security, il y a eu 5 207 fuites de données et 7,89 milliards d’enregistrements compromis pour la seule année 2017.
Une étude réalisée en octobre 2017 a également montré que dans 93% des cas, l’entreprise subit plusieurs préjudices (vol de données mais aussi chantage et même arrêt total de son système informatique).
Pourtant, en ayant les bons réflexes, il est possible de rebondir !
3 étapes pour repartir sur de bonnes bases
Inutile de perdre son temps à accuser la malchance : plus de la moitié des entreprises françaises (52%) ont déjà subi une ou plusieurs tentatives d’attaques de leur réseau informatique et, parmi elles, 93% ont eu à en pâtir.
La première étape est donc de lancer une enquête sur la fuite pour déterminer l’origine de la fuite afin de comprendre d’où est venu le problème : s’agit-il d’un problème technique ? d’une défaillance humaine ?
La deuxième étape va consister à mettre en place des actions conservatrices, pour stopper les dégâts, puis correctrices pour éviter que ce type d’incidents ne se reproduise telles que le renforcement de la sécurité des réseaux, des serveurs et des applications, mais aussi des mesures pédagogiques pour sensibiliser les collaborateurs sur les bonnes pratiques à adopter, et la prise en compte de la valeur des données traitées.
La troisième étape consiste à revoir en profondeur la démarche de l’entreprise en matière de sécurité des données. Être pris au dépourvu par une fuite de données est le signe d’un gros dysfonctionnement en interne : une entreprise qui agit pour sécuriser des données doit anticiper un éventuel piratage. Cela fait d’ailleurs partie des obligations prévues par le RGPD (source).
S’adapter à la sensibilité des données
Mettre en place une sécurisation et un contrôle accru de toutes les données peut être très complexe à mettre en place, surtout pour les petites structures.
L’idée est donc de graduer son approche en fonction de la valeur des données : l’effort le plus important doit être consacré aux données sensibles. A défaut de pouvoir trouver une parade à 100% satisfaisante contre la perte et la corruption de données, il est en revanche possible de diminuer le risque au maximum.
Il est donc recommandé de commencer par trier les données de l’entreprise : quelles sont celles qui doivent rester confidentielles ? ou publiques ?
A partir de là, il faut veiller à allouer des droits ou des autorisations restreints aux données les plus sensibles (ce qui est loin, hélas, d’être le cas dans toutes les organisations). Il est aussi nécessaire de mettre en place des contrôles d’accès hiérarchisés pour se protéger efficacement. Bien sur les déplacements de ces données doivent être encadrées et sécurisées. Ainsi que les « copies » temporaires ou non.
Un autre enjeu, tout aussi capital, est d‘intégrer le risque lié à la mobilité dans l’entreprise. Les collaborateurs apportent désormais leurs propres outils (ordinateur, tablette, smartphone) sur le lieu de travail ou ils utilisent le matériel de l’entreprise à leur domicile/durant leurs déplacements. Le programme de sécurité des données mis en place par l’entreprise ne sera complet que s’il prend en compte ces nouveaux usages et s’il leur apporte des solutions ciblées (réseau privé virtuel, chiffrement des emails, sauvegarde régulière des données, contrôles d’accès au cloud, recherches d’alternatives aux GAFA…).
L’avis de Laurent Brault, dirigeant de MDK Solutions
Comme dans tout projet, le maître mot est « anticipation » !
Plus vous aurez anticipé les actions à entreprendre lors de la découverte d’une catastrophe sur vos données, mieux vous serez en état de repartir avec aisance.
Le B.A.-BA d’une bonne réflexion sur les conditions de redémarrage est de s’interroger au minimum sur les actions à mener pour sécuriser et protéger les données. Cette protection doit s’entendre au sens large puisqu’il faut intégrer les phases :
- de collecte des données
- de transfert
- de stockage et d’archivage
- de traitement
- mais aussi d’exportation vers d’autres lieux
Ensuite, il faut étudier les procédures de détection d’intrusion, de récupération et d’altération des données.
Enfin, il est important de connaître les procédures à déclencher dès qu’il y a une alerte. En effet, il faut déjà savoir comment colmater les fuites et prévenir les propriétaires des données en leur fournissant les consignes à suivre. De plus, il est primordial de ne pas oublier de prévenir la CNIL, sous peine d’un rappel à l’ordre qui peut être sévère.
Attention, anticiper ne veut pas dire « avoir tout prévu » ! Mais vous devrez être en position de maîtriser les événements lorsque votre DSI vous dira : « heu… chef, un hacker vient de nous piquer la base client avec les numéros de CB… ».