Dans un monde hyper-connecté, les entreprises engrangent de plus en plus de données qu’elles stockent sur des bases informatiques. Leur protection est donc un enjeu majeur dans la relation de confiance que souhaite construire l’entreprise avec ses clients.
Sans être exhaustifs, nous tenterons ici de dresser un état des lieux, les lois en vigueurs et les obligations auxquelles doivent se tenir les entreprises.
“Il y a déconnexion évidente entre l’importance de la confidentialité et de la sécurité des données pour les consommateurs et la priorité des entreprises.” – Laurent Lecroq, directeur général de Symantec en France
À quoi doivent faire attention les entreprises souhaitant protéger leurs données :
- Basique au possible mais souvent négligé par les employés d’une entreprise : le mot de passe. Si certains se contentent d’un mot de passe des plus bateaux (“azerty” ou “1234” en sont les plus bels exemples), d’autres se permettent même de désactiver l’utilisation d’un mot de passe ce qui, bien évidemment, s’avère dangereux pour la protection des données. Ici, c’est à l’entreprise d’imposer l’authentification par mot de passe (une solution viable étant d’instaurer un code, exemple : majuscule / minuscules / chiffre / symbole).
- L’accès aux données doit être contrôlé de façon adaptée (exemple : restreindre l’accès des données au cadre de l’entreprise, la connexion hors du lieu de travail pouvant même être impossible) et des limitations peuvent être mises en place (exemple : interdire l’installation de logiciels sur les postes).
- S’assurer que les prestataires de services mettent en place des mesures de sécurité.
- Sécuriser et protéger les supports physiques (appareils, documents papiers…)
Plusieurs études ont montré que les entreprises européennes un énorme retard en la matière. Et elles ne semblent pas vouloir se soumettre aux nombreuses (très nombreuses) réglementations imposées par l’Union Européenne.
Quelques chiffres issus du rapport européen sur la confidentialité des données, réalisé par Symantec en partenariat avec le cabinet d’études indépendant Vanson Bourne, démontrent les efforts qu’il reste à faire en matière de protection des données :
- 99% des répondants qui déclarent n’avoir qu’une connaissance partielle du Règlement Général sur la Protection des Données (RGPD) dont la mise en application est prévue au Printemps 2018.
- 91% des entreprises européennes doutent de leurs capacités à être en conformité avec la nouvelle réglementation
- Un peu plus de la moitié (55%) des répondants ne sont pas certains de leurs capacités à satisfaire intégralement les attentes de leurs clients en matière de sécurisation des données, et les trois quarts des répondants estiment que le respect de leur vie privée n’est pas une priorité pour leurs clients.
- Enfin, à peine plus du quart des entreprises européennes estiment qu’elles seront prêtes pour la mise en application du RGPD d’ici deux ans (32% pour les entreprises françaises).
- Elles ne sont d’ailleurs que 22% à déclarer que ce sujet fait partie de leurs priorités pour les deux années à venir.
- Seulement le quart des répondants prévoient de revoir intégralement leur approche en matière de sécurité en réponse à cette nouvelle règlementation (35% en France).
Mettons maintenant en relation ce que nous venons de voir avec la cyberattaque dont vous avez sûrement entendu parler. Petit rappel, des pirates informatiques ont réussi à infiltrer des dizaines de milliers d’ordinateurs et à les infecter par un ver informatique ” WannaCry”. C’est un “rançongiciel” (ransomware en anglais) qui crypte les données de l’ordinateur et annonce comme seule solution, le versement d’une rançon en échange d’une clé pour utiliser à nouveau son PC. Les auteurs de ce malware exploitent une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.
Le sujet dont nous parlions, la protection des données, est au cœur de l’affaire. Parmi les principales victimes : le service public de santé britannique (NHS – près d’1,7 million de salariés !), la Banque centrale russe et le géant américain de livraison de colis FedEx. Outre le nombre de clients de ces sociétés, ce sont leurs activités même qui révèle un réel danger car on s’en prend à la santé (données du NHS) et à l’argent (données bancaires) des clients. Clients qui, ayant donné une totale confiance aux entreprises précitées, n’auraient jamais pensé craindre pour leurs données personnelles.
Pourtant ici, on ne peut reprocher aux organismes touchés d’avoir été laxistes en termes de protection des données puisque les failles exploitées au départ proviennent d’un piratage de l’agence de sécurité américaine NSA (qui doit certainement, du moins on l’espère, être irréprochable en la matière). Le blâme peut être adressé à la fois à Windows qui n’a pas su identifier ces failles et les corriger ainsi qu’à la NSA qui n’a même pas pris la peine d’alerter Microsoft ce qui aurait pu éviter une telle attaque. La seule solution proposée depuis par Windows est la diffusion en urgence d’un patch pour contrer le logiciel malveillant. À la lumière de tout ceci se pose évidemment la question de la sécurité des logiciels et autres applications que l’on utilise au quotidien.
En conclusion de tout cela et en réponse aux détracteurs de la nouvelle réglementation à venir (en 2018 on le rappelle), il faut souligner l’importance de la protection des données, sujet majeur s’il en est. Pour boucler la boucle, gageons que c’est le web et l’hyper-connectivité des données qui rend nécessaire une telle réglementation, si contraignante qu’elle soit et plus les entreprises se plieront aux exigences que demandent leur inexorable croissance, plus la confiance des consommateurs leur sera acquise et donc, leur sera profitable.