L’importance de sécuriser ses données

Tous les propriétaires d’entreprise courent le risque de subir une brèche de sécurité – pas seulement les LinkedIn de ce monde (le site s’est fait voler 6,5 millions de mots de passe d’utilisateurs en juin 2012).

«Les entreprises mettant de plus en plus d’informations sur le web, des données primordiales se retrouvent exposées, ce qui les rend, elles et leurs clients, à risque», résume Trac Bo, chef du service des technologies à risque chez MNP Calgary.

Les coûts d’une brèche de sécurité peuvent être astronomiques et se doubler d’une couverture médiatique défavorable, de risques de poursuite et d’une perte de confiance des clients ou du public.

Les entreprises doivent donc payer pour remédier au problème, revenir à la normale et prévenir de tels incidents de se produire à nouveau. Il y a aussi un coût pour regagner la confiance des clients et pour refaire sa réputation.

Dans les pires cas, les dommages sont si vastes que certaines doivent fermer leurs portes. À titre d’exemple, le coût moyen par dossier (carte de crédit, données de paiement ou information personnelle) est de plus de 200 $ et le coût moyen d’une violation de données dans une grande entreprise revient à plus de 5 millions de dollars, selon le Ponemon Institute.

En outre, 90 % des applications web populaires, même si elles utilisent le cryptage, sont vulnérables aux attaques, prévient SSL Pulse, un site web qui surveille l’efficacité des sites sécurisés. Les sites destinés aux clients, fournisseurs et partenaires, l’intranet sont des exemples d’applications web. Plus encore, des logiciels comme Excel, Word, Access Databases et SharePoint peuvent être compromis par le biais de programmes macro malveillants ou des JavaScript.

Les incidents entourant la sécurité des technologies de l’information (TI) résultent d’un certain nombre de facteurs. La sécurité est passée au premier plan dans les cinq dernières années seulement, alors les fournisseurs TI n’y avaient pas alloué les ressources adéquates et les développeurs n’avaient pas reçu de formation jusque-là. Les entreprises sous-investissent dans le personnel de sécurité, ce qui se traduit par un manque d’outils, de politiques et de processus pour sécuriser ses données.

Par ailleurs, des applications en ligne comme l’infonuagique, les transactions bancaires, le e-commerce et l’usage des réseaux sociaux, de même que l’usage mobile sur un téléphone intelligent ou une tablette, présentent de nouveaux risques. Le développement de l’industrie de la sécurité et des meilleures pratiques peine à garder le rythme face aux nouvelles tendances.

Les pirates informatiques sont donc devant une mer de possibilités.

La plupart des entreprises dépendent aujourd’hui d’Internet et certaines migrent leurs données sur le «nuage» – c’est-à-dire que des entreprises tierces leur offrent d’héberger leurs données sur des serveurs, base de données et applications externes, mais accessibles par Internet. Ce qui ne protège pas nécessairement davantage.

L’information peut aussi être involontairement divulguée à des concurrents, par exemple, à travers les médias sociaux. L’an dernier, un employé de Google a perdu son emploi après avoir affiché une information sur un changement à la structure de rémunération du moteur de recherche.

ÊTES-VOUS À RISQUE ?

Comment protéger une entreprise des pirates informatiques?

Tous les dirigeants et les équipes de gestion devraient se demander :

• Quelle est la dernière fois que nous avons établi une liste de toutes les informations cruciales pour l’entreprise?

• Que se passera-t-il si mon environnement informatique s’écroule?

• Que ferai-je si on me vole de l’information privée sur mes clients?

• Qui gère notre nouvel environnement informatique, et sont-ils dûment qualifiés? À quel point prennent-ils au sérieux l’implantation d’une sécurité maximale?

• À quand remonte le dernier test de nos systèmes? Quelqu’un pourrait-il facilement accéder à nos données, ou à nos applications?

AGIR

La sécurité des TI commence en identifiant exactement les risques et en établissant des mesures pour les atténuer. Quelques pistes.

• Faire passer un test de résistance aux systèmes : «Certains clients nous demandent d’essayer de pénétrer nos applications, comme un pirate le ferait, explique Trac Bo. Cette mesure permet de détecter les vulnérabilités sans opération malveillante. Très souvent, nous trouvons facilement une façon d’entrer, par exemple parce qu’un mot de passe par défaut n’a pas été changé ou à cause de la vulnérabilité d’une application qui n’a pas été réparée.»

• Évaluer le risque : Cela vous permettra de prioriser vos efforts et de déterminer où la sécurité doit être accrue. Il ne s’agit pas que d’examiner vos systèmes TI, mais aussi d’identifier des processus, informations et ressources spécifiques et essentielles à l’entreprise.

«Déterminez quelles informations clés vous voulez protéger, où elle sont entreposées et comment elle sont utilisées. Ainsi, nous pourrons définir des mesures précises pour les protéger», dit Trac Bo.

• Demander de l’aide tôt : Faites analyser le nouveau système par un professionnel de la sécurité des TI tôt dans la phase de développement du projet. «S’il y a un problème avec un logiciel que vous avez conçu à l’interne, vous pourrez éviter des efforts considérables pour le réparer si celui-ci est identifié assez rapidement. Cela pourrait s’avérer plus long et plus cher de s’en occuper plus tard.»

Lionel Cochey, CISSP, CRISC, CISM, est gestionnaire supérieur chez MNP à Calgary.