Les pertes et fuites de données restent aujourd’hui un véritable fléau pour les entreprises. Telle a été la conclusion de l’étude menée pour la première fois en France par le Ponemon Institute pour PGP Corporation l’année dernière. Les entreprises françaises sont néanmoins conscientes de ce risque mais l’absence de réglementation stricte dans ce domaine explique notamment pourquoi la plupart des infractions/divulagations de données ne sont pas divulguées. De nombreux pays (Allemagne, Grande-Bretagne, Etats-Unis…) se sont dors et déjà dotés d’une législation imposant aux entreprises de notifier les fuites de données, traduisant une réelle volonté d’engager les entreprises dans des politiques et des actions de protection des données personnelles et confidentielles. La France suit le même chemin. En effet, une loi déposée par des Sénateurs va dans ce sens, contre l’avis du gouvernement. Adoptée par le Sénat, cette loi sur les notifications de failles de sécurité attend encore de passer l’épreuve de l’Assemblée Nationale (même si le gouvernement n’est pas à 100% favorable à ce projet de loi).
Des conséquences financières importantes
La conséquence de ces pertes de données est principalement d’ordre financière. Les conclusions de l’enquête du Ponemon Institute montrent en effet que les entreprises françaises ont subi des pertes financières moyennes estimées à 1,9 millions d’euros.
En particulier les coûts des corrections techniques des causes de ces pertes de données qui restent les plus importants. Dans de nombreux cas, les entreprises touchées vont faire appel à des experts extérieurs pour sécuriser leurs systèmes de données.
La perte de la confiance des clients reste également une conséquence commerciale importante d’une perte de données sensibles. Les clients concernés penchent généralement vers une rupture des contrats avec l’entreprise touchée par une faille de sécurité. L’entreprise victime d’une fuite d’informations confidentielles voit son image se dégrader très rapidement.
L’origine de ces pertes de données
Ces pertes de données trouvent leur origine dans plusieurs types de situations :
- Des attaques externes
- D’une défaillance du système d’information
- De négligence humaine
Ces causes impliquent notamment des erreurs commises par des prestataires extérieurs, des négligences d’employés ou des vols /pertes d’appareils mobiles.
Quelles solutions ?
Le rapport rendu par Ponemon préconise des solutions préventives pour se prémunir contre les pertes de données :
- Le chiffrement (clé USB, intégralité du disque dur…).
- Les solutions de prévention de perte des données (DLP).
- Les solutions de gestion des identités et des accès (IAM).
Les entreprises sont encouragées à mettre en place des politiques centralisées de sécurité de l’information prenant en compte les vecteurs émergents de fuite des données : les réseaux sociaux (sensibilisation du personnel), les prestataires (audit des dispositifs de sécurité des tiers avant de partager des informations sensibles), les terminaux mobiles (ordinateur portable, smartphone, clé USB…). Des solution organisationnelles peuvent être également un bon moyen de prévenir ces pertes de données. On peut notamment citer la mise en place de Plan de Continuité d’Activité ou de Reprise d’Activité.
Pour aller plus loin :
- [Commentcamarche.net] Sauvegarder les données de l’entreprises
- [itrmanager.com] Quelles solutions pour prévenirla perte de données ?
- [Wikipedia] Plan de Reprise d’Activité
- [LesEchos.fr] De la sauvegarde au Plan de Reprise d’Activité
- [Clusif] Plan de Continuité d’Activité : stratégie et solutions de secours du SI
