{"id":5514,"date":"2014-06-27T20:50:15","date_gmt":"2014-06-27T19:50:15","guid":{"rendered":"http:\/\/www.solucominsight.fr\/?p=5514"},"modified":"2019-12-31T11:13:40","modified_gmt":"2019-12-31T10:13:40","slug":"fuite-donnees-personnelles-comment-stopper-lhemorragie","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2014\/06\/fuite-donnees-personnelles-comment-stopper-lhemorragie\/","title":{"rendered":"Fuite de donn\u00e9es personnelles : comment stopper l\u2019h\u00e9morragie ?"},"content":{"rendered":"

\u00a0Le 6 mai dernier, Orange annon\u00e7ait avoir \u00e9t\u00e9 victime du vol d\u2019un \u00ab\u00a0nombre limit\u00e9\u00a0<\/a>\u00bb de donn\u00e9es de clients. C\u2019est la seconde fois en moins de 6 mois que l\u2019op\u00e9rateur fait la une de l\u2019actualit\u00e9 pour des faits similaires. Depuis quelques semaines, c\u2019est Domino\u2019s Pizza qui est sous les feux de la rampe.<\/a> Le groupe cybercriminel Rex Mundi r\u00e9clame une ran\u00e7on de 30\u00a0000\u20ac sous peine de publier les 650\u00a0000 donn\u00e9es clients d\u00e9rob\u00e9es<\/a> \u00e0 Domino\u2019s Pizza. Ces r\u00e9cents \u00e9v\u00e8nements illustrent les difficult\u00e9s actuelles des entreprises \u00e0 lutter efficacement face \u00e0 une menace cybercriminelle de plus en plus pr\u00e9gnante.<\/i><\/p>\n

Des attaques cybercriminelles d\u2019une ampleur jusque-l\u00e0 in\u00e9gal\u00e9e<\/h2>\n

Ces attaques se r\u00e9p\u00e8tent et n\u2019\u00e9pargnent personne. En novembre 2013, l\u2019\u00e9diteur Adobe d\u00e9clare avoir \u00e9t\u00e9 victime du vol de 150 millions de comptes utilisateurs<\/a>. Quelques semaines plus tard c\u2019est au tour du g\u00e9ant am\u00e9ricain de la distribution Target de faire les frais d\u2019une attaque de grande ampleur avec pour r\u00e9sultat les donn\u00e9es bancaires de 110 millions de clients dans la nature<\/a>. En mai 2014, Ebay annonce que les donn\u00e9es personnelles de 145 millions de clients ont \u00e9t\u00e9 d\u00e9rob\u00e9es<\/a>, sans atteinte cependant aux donn\u00e9es bancaires.<\/p>\n

Si les motivations des cybercriminels peuvent \u00eatre diverses\u00a0(id\u00e9ologiques,<\/a> ludiques, strat\u00e9giques<\/a>\u2026), ces op\u00e9rations sont tr\u00e8s souvent men\u00e9es \u00e0 des fins \u00e9conomiques. La multiplication, la professionnalisation et la diversification de ces attaques mettent en lumi\u00e8re l\u2019existence d\u2019un v\u00e9ritable march\u00e9 noir de la donn\u00e9e personnelle<\/a>.<\/p>\n

La protection des donn\u00e9es personnelles au c\u0153ur du d\u00e9bat<\/h2>\n

L\u2019Union Europ\u00e9enne s\u2019est saisie du sujet. En mars dernier, le Parlement Europ\u00e9en a adopt\u00e9 le R\u00e8glement Europ\u00e9en sur la Protection des Donn\u00e9es personnelles\u00a0 <\/a>(N.B. le Conseil de l\u2019UE doit se prononcer dans les prochains mois). Ce nouveau r\u00e8glement pr\u00e9voit des r\u00e8gles plus strictes auxquelles devront se plier les entreprises, tout en augmentant drastiquement les sanctions.<\/p>\n

Si la conformit\u00e9 \u00e0 la loi devrait permettre de diminuer le risque de fuite de donn\u00e9es personnelles, cela ne suffit pas<\/a>. Pour prot\u00e9ger les donn\u00e9es de mani\u00e8re plus efficace, le RSSI doit aller au-del\u00e0 et proposer des solutions qui permettront d\u2019agir \u00e0 la fois en amont et pendant la crise.<\/p>\n

Prioriser la d\u00e9tection et la r\u00e9action par la supervision s\u00e9curit\u00e9<\/h2>\n

On estime aujourd\u2019hui qu\u2019environ 80% des entreprises ont \u00e9t\u00e9 victimes d\u2019attaques de type APT. Selon le rapport M-Trend Mandiant 2014<\/a>, le temps moyen de d\u00e9tection de ces attaques est de 229 jours\u00a0!<\/p>\n

L\u2019am\u00e9lioration des capacit\u00e9s de d\u00e9tection est donc un enjeu vital pour prot\u00e9ger les donn\u00e9es sensibles. Une solution efficace est la supervision s\u00e9curit\u00e9,<\/a> qui vise \u00e0 am\u00e9liorer et acc\u00e9l\u00e9rer la d\u00e9tection des activit\u00e9s malicieuses sur le SI de l\u2019entreprise. A l\u2019initiative du RSSI, l\u2019entreprise doit r\u00e9aliser une analyse de risque qui permettra d\u2019identifier les zones les plus sensibles de son SI. La collecte et l\u2019analyse des logs des \u00e9l\u00e9ments sensibles lui permettront de garder un \u0153il attentif et de r\u00e9agir en cas d\u2019identification de signaux faibles<\/a> indiquant une compromission.<\/p>\n

Traiter en priorit\u00e9 le maillon faible de la cha\u00eene cyber-s\u00e9curit\u00e9<\/h2>\n

Les utilisateurs du SI sont le maillon faible de la cha\u00eene cyber-s\u00e9curit\u00e9 et apparaissent comme des cibles de choix\u00a0: l\u2019exploitation de failles humaines est \u00e0 l\u2019origine de 70 \u00e0 80% des attaques cybercriminelles. Afin de pr\u00e9venir ces incidents, le RSSI doit s\u2019appuyer sur les Ressources Humaines et la Communication Interne afin d\u2019inscrire la sensibilisation SSI dans des actions de communication. A l\u2019image d\u2019Axa, qui a organis\u00e9 un concours vid\u00e9o sur le th\u00e8me de la pr\u00e9vention num\u00e9rique, en partenariat avec l\u2019EICAR, une \u00e9cole de cr\u00e9ation audiovisuelle. Des spots de sensibilisation \u00e0 la cyber-s\u00e9curit\u00e9 (phishing<\/a>, social engineering<\/a>) ont \u00e9t\u00e9 produits, cumulant au total plus d\u2019un million de vues. La Soci\u00e9t\u00e9 G\u00e9n\u00e9rale a \u00e9galement men\u00e9 des actions de sensibilisation<\/a> de ce type.<\/p>\n