Rawpixel - Fotolia
Les leçons des incidents de sécurité de 2018
L’année écoulée a continué d’être marquée par les incidents de sécurité informatique. Plusieurs leçons peuvent en être tirées, ainsi que de la manière dont y a réagi le grand public.
Les atteintes à la protection des données sont une réalité quotidienne. Et il est presque impossible de savoir quelles atteintes auront une influence ou un impact tout au long de l'année. Pour ce tour d'horizon de l’année écoulée, nous avons choisi de nous concentrer sur les incidents ayant touché Under Armour, Cambridge Analytica-Facebook, Uber et les hotels Marriott.
Tous les risques liés à la sécurité de l'information ne relèvent pas des atteintes à la protection des données, mais toutes celles-ci constituent un risque de sécurité. Les atteintes aux données des consommateurs peuvent révéler des informations personnelles, des modes de paiement, mais également éclairer sur la posture de sécurité d'une entreprise, ou de ses employés.
Où qu’interviennent les incidents, leur coût et leur impact peuvent rapidement s’envoler. L’édition 2018 de l’enquête de l’institut Ponemon sur le coût des brèches de données, publiée en juillet dernier, l’a encore montré. En France, il s’établit en moyenne à 4,27 M$ cette année, contre 3,51 M$ pour l’édition 2017 de l’étude. Une progression de 34 % sur un an, donc, contre 6,6 % à l’échelle de la planète.
Diligence et reconnaissance
Quels sont les moyens concrets par lesquels les entreprises devraient assurer la sécurité des données et réduire le risque de brèche en 2019 ? Les experts recommandent une diligence raisonnable, des vérifications internes et la mise en place de procédures de reconnaissance, en particulier dans un contexte d’entrée en vigueur du règlement européen de protection des données (RGPD), mais pas uniquement.
L'un des incidents de cybersécurité majeurs de 2018 a concerné les hôtels Marriott/Starwood : plus de 327 millions de dossiers contenant des adresses, des numéros de téléphone, des adresses e-mail, des dates d'arrivée et de départ. Le groupe hôtelier a reconnu que l’origine de l’incident remonte à 2014. Mais a-t-il fait preuve d’une diligence suffisante pour surveiller la sécurité de son système d’information ?
Chez Uber, le dérapage incontrôlé a été rendu public fin 2017. Mais l’incident avait démarré en 2016. La notification et les efforts de diligence n’ont véritablement commencé pour leur part qu’en 2018. Pour Paige Boshell, membre directeur de Privacy Counsel LLC, « c'est moins la brèche que le camouflage qui a mis tout le monde en colère. Ce qu'il faut retenir de tout cela, c'est que vous devez être transparent avec vos clients s'il y a une brèche ».
Mais que se passe-t-il lorsque l'entreprise acquiert une autre entreprise et hérite d'un système patrimonial ou sous-traite ? En cas de brèche, qui est responsable ? Pour Vijay Pullur, PDG de ThumbSignIn, il faut là creuser en profondeur et établir différents degrés de responsabilité tout au long de la chaîne : « c'est vraiment difficile quand il y a des systèmes vraiment complexes en production. Vous ne pouvez localiser que le point final où la perte s'est produite ; par exemple, vous pouvez trouver le lieu de la perte d'information. Mais si vous retournez en arrière et creusez plus en profondeur, vous constaterez qu'il s'agit souvent moins d'une entreprise en tant que telle que d’un maillon d’un réseau plus vaste ».
La sécurité comme argument commercial
Dans le cadre de son étude, l’institut Ponemon a souligné qu'une part importante du calcul du coût d'une atteinte à la protection des données tient compte de la perte de confiance dans la marque et dans l’atteinte à son image ; l’étendue de l’impact s'entend en termes de clientèle actuelle et future.
La révélation de la brèche qui a touché Under Armor, a conduit à une chute de plus de 3 % du cours de son action, alors que les consommateurs commençaient à supprimer des applications et à fuir la marque. Et cela malgré une reconnaissance très rapide de l’incident. Selon les experts, en 2019, la cybersécurité et les plans de réponse aux incidents deviendront un facteur de différenciation pour les entreprises.
Car les consommateurs seront très peu tolérants vis-à-vis des marques de haute qualité. Ce n’est pas pour rien qu’un Apple insiste sur la confidentialité des données et la sécurité de ses produits : « ils font des pieds et des mains pour dire qu’ils prennent la vie privée de leurs clients très au sérieux », relève ainsi Marty Puranik, PDG d'Atlantic.net et expert en cybersécurité.
Si les entreprises ont un enseignement à retirer des brèches de 2018, c’est qu’il est grand temps pour elles de trouver un moyen de renforcer leur posture de sécurité afin d'accroître la confiance des consommateurs et leur notoriété.
L’heure des bonnes résolutions
Les entreprises, conférences et programmes dédiés à la cybersécurité ont continué à gagner en popularité sous l’effet d’incidents de cybersécurité qui n’ont cessé de se multiplier et de gagner en résonance. Les experts encouragent les entreprises à continuer à jouer un rôle actif dans la sécurité de leurs données, en particulier avec l'entrée en vigueur du RGPD : « l'idée d'être un ranger solitaire essayant de se protéger contre toutes les menaces actuelles va s'estomper avec le temps », estime ainsi Marty Puranik.
Car pour lui, « l'avenir est aux spécialistes capables d’évaluer la posture de sécurité des entreprises et d’établir un paysage des menaces qui les concernent. La cybersécurité change si rapidement qu'il faut vraiment travailler avec des spécialistes disposant de données globales sur toutes les menaces ».