Le 24 avril dernier, la Securities and Exchange Commission (une sorte de gendarme américain de la Bourse) a condamné Altaba, l’ex-Yahoo!, à payer une amende de 35 millions de dollars. Le groupe avait en effet caché, jusqu’en 2016, avoir subi un piratage massif de données personnelles (noms, adresses e-mails, numéros de téléphone, dates de naissance, mots de passe, …) en 2014.
Ce scandale n’est pas unique. Toutes les semaines, des infrastructures sont attaquées par des cybercriminels ou de nouvelles révélations sont faites concernant des failles dans la sécurité des données.
Voici quelques exemples pour ce seul mois d’avril :
- Symantec a révélé les agissements d’un cybergang qui pirate les appareils médicaux pour piller les données (source)
- Mark Zukerberg a admis que “la plupart” des données des 2,2 milliards d’abonnés à Facebook ont pu être piratées (source)
- Un hacker a piraté les bornes de Wi-Fi public à Toulouse et pénétré tous les appareils qui y étaient connectés (source)
- …
Un autre problème majeur vient se greffer à cette situation déjà préoccupante : l’externalisation des systèmes informatiques et des applications vers des Data Center, basés le plus souvent à l’étranger.
L’application en France du RGPD va t-elle améliorer la sécurité des données ?
La transposition en France du Règlement général de la protection des données (RGPD) à partir du 25 mai va permettre de proposer un cadre plus sécurisant concernant la collecte mais aussi le stockage des données.
Toutes les structures qui hébergent les données de leurs clients, et pas seulement les Data Center, vont devoir s’y conformer. Les GAFA vont aussi être contraints de revoir certaines de leurs pratiques car les entreprises étrangères sont obligées de respecter le RGPD si elles veulent offrir leurs services au sein de l’Union Européenne.
Pour autant, il ne faut pas se leurrer : le RGPD ne va pas régler le problème de la sécurité des données se trouvant sur des serveurs et hébergements web. De plus, les géants du web auront moins de difficultés que les autres à obtenir le consentement de leurs utilisateurs. Mohamed Messaoudi, Directeur du pôle Data Management chez Publicis ETO, considère en effet que “les plus gros gagnants (…) sont les grands acteurs mondiaux fournissant des services gratuits qui sont déjà installés dans le quotidien des consommateurs. J’ai nommé, entre autres, Google et Facebook, ceux-là même qui ont inventé le business modèle unilatéral à leur profit” (source).
Pour plus d’informations à ce sujet, n’hésitez pas à consulter notre article sur la RGPD.
Un risque trop sous-estimé avec les Data Center : les attaques par Déni de services (DDOS)
Au-delà des risques liés au piratage ou à l’utilisation abusive des données (revente à des tiers), les serveurs et hébergements web présentent d’autres inconvénients qui peuvent impacter lourdement les organisations publiques ou privées.
Certaines attaques ont en effet pour unique objectif de rendre un service indisponible pendant une période plus ou moins longue. Il est ainsi possible de paralyser totalement un serveur en lui envoyant un nombre massif de requêtes. C’est ce qu’on appelle une attaque par Déni de services (DDOS).
Elles sont très répandues car elles sont très faciles à vendre. A titre d’exemple, une opération de police d’envergure, menée à l’échelle internationale, a permis ce mois-ci de neutraliser un site web facturant des prestations DDOS. 136 000 utilisateurs s’en sont servis pour lancer 4 millions d’attaques ! Le tarif était attractif : 15 euros à peine… (source). Dans ce contexte, rien n’empêche un client mécontent ou un concurrent mal-intentionné de paralyser totalement une entreprise pour lui nuire (exemple : bloquer un e-commerce en période de soldes ou de fêtes de fin d’année).
L’entreprise victime perd dans ce cas-là une grande partie de son chiffre d’affaires mais dégrade également sa réputation.
Or tous les Data Center ne sont pas en capacité de proposer une solution de repli ou d’assurer une réelle disponibilité de leurs services !
L’avis de Laurent Brault, dirigeant de MDK Solutions
Il faut rester pragmatique : les sociétés, surtout les plus petites, n’ont pas la capacité de sécuriser leurs données localement.
Pour garantir une réelle sécurité, il est en effet nécessaire de protéger les données contre tous les accès non désirés. Cela implique de disposer d’une infrastructure technique, de logiciels, d’une équipe… qui soient toujours à la pointe des connaissances techniques et juridiques.
Or dans ce domaine, tout évolue très vite. A l’échelle d’une petite société, il n’est pas possible de rentabiliser les investissements.
Il ne leur reste alors qu’une solution, quasi-incontournable : le recours à un hébergeur dans le cloud.
Mais encore faut-il bien choisir son hébergeur et ses solutions d’hébergement ! Les entreprises doivent impérativement éviter de mettre leurs données dans la gueule du loup en adoptant de bonnes pratiques :
- ne pas opter pour les solutions les plus attractives financièrement qui ont en réalité comme prix caché l’analyse des données ;
- veiller à ne pas dépendre de plusieurs législations : il est toujours préférable de choisir des services 100% français, car la législation nationale vous protège alors.
- dans cette optique, mais aussi pour se prémunir des mauvaises surprises, il est vivement recommandé de prendre le temps de lire les conditions de vente en entier.