Amanda
Dubarry, avocat à la cour et Marion Duchatelet, directrice marketing de Track
Up expliquent face à une assemblée d’entrepreneurs, de juristes et de
responsables de la sécurité de systèmes informatiques, les parades contre le
pillage des données numériques. Ces délits, assez fréquents, passent souvent
inaperçus et alimentent pour partie le marché des data.
Toute
société en registre des informations sur ses clients et manipule des données.
Le nombre de vols de ces fichiers augmente et, dans le même temps, leurs
conséquences néfastes pour les victimes. Elles englobent une perte d’activité,
des coûts économiques de réparation de la faille, une atteinte à la réputation
de la société/marque. Dans une époque d’information continue immédiate, le citoyen
a besoin d’être en confiance avec les acteurs économiques. Il semble essentiel
de lui apporter la certitude que ses données à caractère personnel sont bien
protégées. Les attaques de grands groupes sont largement médiatisées, affichées
sur le site de la CNIL, au risque de générer un sentiment de défiance de la
part du consommateur.
Le
coût dû à une atteinte de l’image peut s’avérer excessivement important. De
plus, juridiquement, le responsable de traitement en charge de la sécurité des
données risque d’être inquiété. Il convient de mettre en place en amont la protection
visant à éviter les vols ou, a minima, corriger et restreindre la
vulnérabilité.
Contexte et enjeux
Les
entreprises stockent des fichiers contenant, entre autres, des adresses e-mail
qui sont les plus volées des données numériques personnelles. On les trouve
plus attirantes parce que moins chères à utiliser. Le routage d’une adresse e
mail a un prix inférieur à celui d’une adresse postale. Les personnes
malintentionnées qui dérobent une base de données y incluent toujours les
adresses e-mail, de façon à optimiser la valeur de leur larcin.
Dans
une entreprise, plusieurs individus internes accèdent aux données, mais parfois,
il arrive que la société monétise sa base de données. Elle propose, par exemple,
son fichier client à la location. À partir de là, elle perd toute visibilité
sur l’exploitation qui est faite de ses données par le locataire. Toute
entreprise qui route, qui sous-traite de la segmentation avec des tiers extérieurs,
leur donne nécessairement accès aux données. Les risques de vol se situent tant
avec les fournisseurs qu’avec les collaborateurs. En interne, rarement détectés,
les individus passent à l’acte pour différentes raisons : vengeance, désillusion,
cupidité, etc. Le fichier peut être vendu à une société d’e-mailing marketing peu
regardante quant à la provenance de son achat ou bien encore à une start up naissante
intéressée par la cible.
Dans
la culture commune, on imagine le voleur de données plutôt comme un hacker à
l’autre bout du Monde que comme un collaborateur dans le bureau voisin. Les attaques
contre de gros groupes font la Une des journaux parce que leur stature les oblige
à communiquer sur le sujet. Les petits larcins qu’on pourrait qualifier d’ordinaires
passent, eux, totalement inaperçus.
Exemples
rencontrés :
•
Le RSSI d’un grand compte du CAC 40 exporte le fichier clients et le revend à
des agences prestataires d’e marketing ;
•
Le responsable informatique insère dans la base de son nouvel employeur les données
de son ancien employeur, société concurrente dans le même secteur d’activité avec
la même cible ;
•
Le consultant en mission temporaire dans l’entreprise exporte ses données pour
les revendre ;
•
Un ex-collaborateur télécharge le fichier client de son ancienne entreprise
après l’avoir quitté ;
•
Un sous-traitant du code HTML de l’emailing d’une société y incorpore des lignes
de code malveillant qui lui retourne l’adresse de tout destinataire qui ouvre
le mail. (...)
Retrouvez la suite de cet article dans le Journal Spécial des Sociétés n° 57 du 19 juillet 2017