Fuites de données : le danger ne vient pas seulement des hackers mais aussi des salariés !

D’après un rapport de Verizon Data Breach Investigations (DBIR) publié en 2020, les fuites d’origine interne représentent 34 % des vols de données en entreprise. Dans ce contexte, il est étonnant que beaucoup d’entreprises s’interrogent encore sur la nécessité de sensibiliser régulièrement leurs salariés à la cybersécurité ou sur l’importance de se doter des outils et équipes qui permettent d’en limiter les risques. Qu’elles soient des géants mondiaux comme Samsung qui a « bannit ChatGPT pour éviter que ses secrets s’ébruitent » en mai 2023 après que des salariés aient partagé des données confidentielles avec cet agent conversationnel, ou « 50.000 PME en Suisse qui ne pouvaient plus verser de salaires à cause d’une attaque informatique » en décembre 2022, nul n’est à l’abri !

Que les données concernent les salariés, les clients, les fournisseurs, la finance ou les produits d’une entreprise, elles sont devenues des cibles de choix pour les malfaiteurs. Leur perte peut entraîner des conséquences désastreuses pour une entreprise et la dégradation irrémédiable de son image. Le combat est devenu permanent et chacun doit s’interroger sur l’utilité de stocker ou de transférer telle ou telle information. La formule, popularisée par Bruce Willis, «si c’est gratuit, c’est que vous êtes le produit » montre les limites d’un système en réseau où tout peut se partager facilement. Ainsi tout ce qui est divulgué à l’extérieur n’appartient plus à celui qui l’a diffusé ! La prudence est requise pour faire face aux pièges qui parcourent le web.

Pour éviter de se faire piller ses données, voici donc une liste, non exhaustive, de ce qu’il faut éviter de faire :

#1 Confier des données confidentielles  à des outils de traduction !

Il est si facile d’aller sur internet pour traduire un document ou une présentation. Malgré que les résultats de ces outils soient imparfaits et demandent des adaptations, ils font souvent gagner du temps. Leur demander de traduire la dernière proposition commerciale faite à un client ou le contenu d’un projet stratégique est bien évidement à proscrire ! Même les banques avec leurs équipes de contrôles omni présentes peuvent se retrouver exposées.

#2 Divulguer à des intelligences artificielles les trésors de l’entreprise !

Pour aider un manager dans ses fonctions, ChatGPT répond qu’il « peut collecter, traiter et analyser de grandes quantités de données pour fournir des informations utiles sur les tendances et les performances de l’entreprise. » Pourtant, lui confier la rédaction des documents d’analyse financière de l’entreprise augmente la probabilité de voir ces données utilisées par la concurrence. Pour progresser, ces agents conversationnels s’appuient sur les requêtes qui leurs sont faites. Tout le contenu fourni devient l’or noir qui fait tourner leurs moteurs.

#3 Partager des documents via des plateformes peu sécurisées !

Laisser ouverte sa porte d’entrée au moment de quitter son logement ne viendrait à l’idée de personne ! Et pourtant, déposer un trésor sur des sites de téléchargements peu sécurisés équivaut à en perdre le contrôle. Il est normal que certaines entreprises interdisent ces sites qui sont la porte ouverte vers une fuite massive. Pour limiter les risques, l’ANSSI propose une liste de produits certifiés.

#4 Donner trop de droits à des invités dans Teams ou SharePoint !

Partager des droits avec des invités doit être encadré et régulièrement contrôlé. Une brèche dans la sécurité du système d’information de l’entreprise peut déclencher bien des déconvenues. La responsabilité de tous est la base de la sécurité pour éviter des expositions malencontreuses. Afin de limiter les risques, il ne faut pas hésiter à mettre en place des règles d’expiration des accès.

#5 Accepter les exportations du CRM !

Sanctuaire de la relation commerciale et de nombreuses informations sur les clients, le CRM nécessite une vigilance attentive. Trop d’entreprises perdent une partie de leurs carnets d’adresses au moment du départ de certains collaborateurs. Encadrer l’utilisation de cet annuaire est indispensable pour préserver ses secrets.

#6 Stocker les données personnelles des salariés !

Vérifier une carte d’identité ne donne pas le droit de la stocker indéfiniment dans un système d’information insuffisamment protégé ! A l’heure où les usurpations d’identités n’ont jamais été si nombreuses et que les données personnelles sont une mine d’or du Dark Web,  la fonction RH doit être la garante vis-à-vis du personnel d’une bonne application des principes de sécurité. Comme le suggère la Police, il est indispensable de barrer, dater et contextualiser certains documents avant de les fournir à des tiers. Ensuite, comme pour le papier qui est broyé pour éviter les risques, des suppressions régulières sont impératives.

#7 Enregistrer des informations de paiement !

Les numéros de cartes bleues ou les RIB ne devraient jamais sortir du système bancaire. Les sites marchands non sécurisés, ou proposant de conserver des données de paiements, devraient être proscrits. Avec l’arrivée du Cyber Score sur les principaux sites, le ménage devrait se faire dans ces pratiques. En attendant, la prudence est la meilleure des défenses.

Se connecter au réseau de l’entreprise depuis un cybercafé, envoyer des fichiers par email, partager des informations sur les réseaux sociaux et bien d’autres pratiques augmentent également le risque de dévoiler des informations à l’extérieur. Face à un monde du numérique sans frontières égarer des données peut se produire à tout instant. 98 statistiques sur les fuites de donnés réalisées par Varonis l’expliquent.

Alors que protéger les données devrait être au cœur de la stratégie de la plupart des entreprises, souvent celles-ci en minimisent l’impact. Enrichir sa charte IT, créer des guides de bonnes pratiques, sensibiliser, former et communiquer régulièrement sont indispensables pour lutter contre les imprudences et les actes malveillants.