Pourquoi les données sont-elles devenues la cible du crime organisé ? Qu’est-ce que les malfaiteurs espèrent en tirer ? Comment se prémunir, et comment protéger ses données ?

Les données, une valeur qui s’apprécie

Dans un monde de plus en plus numérique, les actifs immatériels ont tendance à s’apprécier davantage que les actifs matériels ou financiers. Avec une traduction bien concrète : selon une analyse du cabinet américain Gartner, publiée début novembre 2017, la capitalisation boursière d’une entreprise qui exploite intelligemment ses données serait trois fois supérieure à la moyenne. Sans parler des multiples start-up, à la valorisation spectaculaire, dont les business modèles sont entièrement fondés sur l’exploitation des données de leurs utilisateurs.

Où il y a de la valeur, il y a des voleurs

8 entreprises françaises sur 10 ont déclaré avoir été victimes d’au moins une tentative de fraude, selon l’édition 2017 de l’étude Euler Hermes / DFCG sur la fraude en entreprise ; la cyberattaque (57%) suit immédiatement la fraude au président (59%) dans la liste des attaques les plus pratiquées. C’est que les réseaux du crime n’ont pas tardé à comprendre qu’il y avait dans les données une nouvelle source de profit. Ils se sont engouffrés dans la brèche, où ils déploient sous une forme nouvelle des pratiques… ancestrales.

Vol et recel

En réussissant à pénétrer dans les systèmes pour y dérober des données stratégiques : fichier client, contrats, secrets de fabrication, qui seront ensuite vendues sur un marché parallèle.

Séquestration de données

En encryptant les données d’un poste, d’un serveur ou d’une entreprise, les rendant de la sorte indisponibles, pour proposer ensuite leur restitution contre rançon.

Chantage à la réputation

En dérobant des données sensibles, comme les salaires du personnel et des dirigeants, et en menaçant de les rendre publiques.

Chantage à la conformité

En menaçant de rendre publiques les données personnelles des clients (dont par exemple leurs numéros de carte bancaire), mettant ainsi à risque la réputation de l’entreprise, mais aussi sa conformité à la réglementation GDPR. A la clé là-aussi : une demande de rançon.

Usurpation d’identité

Les scénarios de fraude au président, au faux client ou au faux fournisseur, se sophistiquent, grâce à la capacité d’écoute (messageries, mais aussi parfois… téléphone) des criminels, qui disposent ainsi de détails qui rendront leurs tentatives toujours plus crédibles.

Protéger ses données

Il n’y a pas de sécurité absolue, en matière de données comme ailleurs. Pour autant, les malfaiteurs sont d’abord des prédateurs : ils s’attaquent en priorité aux proies les plus fragiles ; une entreprise aura tout intérêt à se préparer pour ne pas être de celles-là.

L’éducation des utilisateurs et, plus largement, de tous les collaborateurs de l’entreprise constitue un élément-clé. Le 7 Juin dernier, Proofpoint publiait son rapport annuel « Le Facteur Humain 2017 ». Il indique que les cybercriminels se reposent de plus en plus sur l’humain plutôt que sur les failles logicielles pour installer des programmes malveillants, dérober des informations confidentielles et transférer des fonds. Selon l’éditeur Kaspersky, en 2017, 46% des incidents de sécurité sont provoqués par l’action d’un membre de l’entreprise…

L’externalisation des données via le cloud permet de mutualiser les investissements, la maintenance, et la mise à jour permanente d’un niveau de sécurité élevé. Mais outre que le fournisseur de cloud ne peut pas, lui non-plus, garantir un risque zéro, l’externalisation entraîne aussi des contraintes. A commencer par un changement non négligeable dans la présentation des comptes : les charges du cloud remplacent l’investissement amortissable des matériels propriétaires, et l’Ebitda peut s’en ressentir.

La réglementation vient au secours des bonnes pratiques – la GDPR, protection des données personnelles des citoyens européens mise en place à compter du 25 mai prochain, ne manquera pas d’accélérer dans les entreprises la prise de conscience de la valeur des données – ne serait-ce que par le montant des amendes en cas de manquement.

Assurer les conséquences de la fraude

Aujourd’hui, on attend beaucoup du bon usage de ses données : réduire les coûts, augmenter les marges, développer le panier moyen des clients existants, trouver de nouvelles sources de clientèle… Une attaque de ces données ne peut entraîner que des mauvaises nouvelles : pertes financières directes, réputation en berne, impossibilité de travailler et difficultés diverses.

L’existence d’assurances fraude adaptées aux différentes tailles d’entreprise constitue une piste à creuser pour maîtriser les conséquences d’une attaque sur ses données.