A A A
Techno

Sécurisez vos données

5 avril 2013 | Lionel Cochey

  • envoyer
  • imprimer


La profusion de données sur Internet : un danger potentiel pour votre pratique et vos clients.

Les propriétaires d’entreprise peuvent tous être victimes d’une atteinte à la sécurité des données, pas seulement les gros joueurs comme LinkedIn, qui s’est fait dérober les mots de passe de 6,5 millions de ses utilisateurs en juin 2012.

« Les entreprises mettent de plus en plus d’information sur le Web; des données critiques sont ainsi exposées, ce qui compromet la sécurité des entreprises et la confidentialité de leurs clients », affirme Trac Bo, chef des services de gestion des risques technologiques à MNP Calgary.

Une inquiétante réalité
Une brèche de sécurité peut coûter cher et provoquer une couverture médiatique défavorable ainsi qu’un risque de responsabilité. Une entreprise peut alors perdre la confiance du public et voir des clients lui tourner le dos. Après quoi elle devra ouvrir son portefeuille pour régler la crise, revenir à des activités normales, prévenir d’autres incidents éventuels, regagner la confiance de sa clientèle et rétablir sa réputation. Dans le pire des cas, les dommages sont si considérables qu’une société n’a d’autre choix que de fermer ses portes. À titre d’exemple, selon le Ponemon Institute, le coût moyen par dossier (carte de crédit, données de paiements ou renseignements personnels) s’élève à 200 $, alors que le coût moyen d’une atteinte aux données dans une organisation d’envergure peut dépasser les 5 millions de dollars.

En outre, SSL Pulse, un site Internet qui surveille l’efficacité des sites sécurisés, affirme que 90 % des applications Web les plus populaires sont vulnérables aux attaques, et ce, même si elles chiffrent leurs données. Les applications Web comprennent entre autres les sites destinés aux clients, les portails pour fournisseurs et partenaires, ainsi que les sites intranet pour employés. Les logiciels comme Excel, Word, Access Databases et SharePoint ne sont pas en reste, étant exposés à des macros ou à des scripts Java malveillants.

La multiplication des incidents de sécurité informatique est le résultat d’un certain nombre de facteurs. Notons tout d’abord que la sécurité est devenue un enjeu de taille depuis à peine cinq ans. Par conséquent, les fournisseurs de technologies de l’information n’ont jamais consenti de ressources suffisantes à cet égard et les concepteurs de logiciels n’ont pas reçu de formation pertinente. De plus, les organisations n’ont pas assez investi dans leurs équipes de sécurité, ce qui se traduit par une absence d’outils, de politiques et de processus assurant la sécurité des opérations.

Les applications en ligne, comme l’infonuagique, les opérations bancaires électroniques, le commerce électronique et les réseaux sociaux, ainsi que l’utilisation de téléphones intelligents et de tablettes comportent également des risques inédits. Le secteur de la sécurité informatique tarde à se perfectionner et l’adoption de pratiques exemplaires n’arrive pas à suivre la cadence des tendances émergentes.

Les pirates informatiques d’aujourd’hui voient donc leurs occasions se décupler.

La plupart des organisations dépendent fortement d’Internet, et certaines se tournent vers l’infonuagique pour sauvegarder leurs données. Ce type de ressource de stockage informatique est fourni par des tiers qui exploitent des serveurs, des bases de données ou des applications en ligne. « De nos jours, tout est interrelié sur Internet et n’importe qui est potentiellement en mesure d’accéder en douce aux données de votre ordinateur », met en garde M. Bo.

L’information peut aussi être divulguée par inadvertance à des concurrents, par exemple sur des médias sociaux. L’an dernier, un employé de Google a été mis à la porte après avoir divulgué sur une telle plateforme la nouvelle structure de rémunération de la société.

Êtes-vous à risque?
Alors, comment pouvez-vous vous mettre à l’abri du piratage informatique très perfectionné qui sévit aujourd’hui?

Si vous êtes un propriétaire d’entreprise ou faites partie d’une équipe de direction, voici quelques questions à vous poser :

  • À quand remonte notre dernier inventaire des données critiques de l’entreprise?
  • Qu’arriverait-il si notre environnement informatique était attaqué?
  • Comment vais-je procéder si des données personnelles de mes clients tombent entre de mauvaises mains ou si des rapports confidentiels sont volés?
  • Qui est responsable de la gestion de notre environnement informatique? Est-ce que ce responsable a toutes les compétences requises? Dans quelle mesure fait-il preuve de rigueur en matière de mise en œuvre de mécanismes de sécurité efficaces?
  • À quand remonte la dernière vérification de sécurité de nos systèmes? Existe-t-il une entrée informatique non sécurisée que quelqu’un pourrait emprunter pour accéder à nos données ou pour ouvrir facilement nos applications?

La clé : agir!

Avant toute chose, répertoriez avec précision les risques auxquels vous êtes exposé. Ensuite, vous pourrez mettre en œuvre des contrôles visant à mitiger ces risques.

Voici quelques conseils :

Effectuez un contrôle marginal de vos systèmes
« Certains clients nous demandent d’accéder à leurs applications en procédant comme le ferait un pirate informatique, explique M. Bo. Une telle démarche nous permet de détecter les failles de sécurité sans intention malveillante. Nous arrivons très souvent à nous infiltrer en raison d’un mot de passe par défaut qui n’a pas été changé, ou encore parce qu’une faiblesse n’a pas été corrigée. »

Évaluez les risques
En évaluant les risques encourus et en sachant où la sécurité doit être renforcée, vous ciblerez mieux vos efforts. Ne vous limitez pas à vos systèmes informatiques : examinez aussi les processus, les données et les ressources essentiels à vos activités.

« Pour nous permettre de concevoir des contrôles précis et efficaces, vous devez déterminer quelle information clé vous tentez de protéger, où elle est stockée et comment elle est utilisée », ajoute M. Bo.

Obtenez de l’aide en amont
Faites analyser tout nouveau système par un professionnel en sécurité informatique dès les premières étapes de développement. « Si un problème relatif à un logiciel interne est détecté assez tôt, de lourds efforts de mise à niveau pourraient être évités. En effet, plus un problème est cerné tard, plus il faudra de temps et d’argent pour le régler », explique M. Bo.


Lionel Cochey est CISSP, CRISC, CISM, directeur principal chez MNP de Calgary
Cet article est paru dans le magazine Advisor’s Edge en novembre 2012. 

Loading comments, please wait.