Comment prévenir la fuite des données ?

Je travaille dans l’informatique depuis près de 20 ans et j’ai vu beaucoup de choses absurdes. Peut-être l’une des plus surprenantes (de mon point de vue personnel) est le nombre d’entreprises qui ne semblent pas réaliser la véritable valeur de leurs données.

Comment prévenir la fuite des données ?

Je suis le premier à reconnaître que les grandes sociétés prennent généralement la sécurité très au sérieux. En revanche, combien de fois ai-je entendu des dirigeants de PME dire que la sécurité n’est pas importante car ils n’ont pas de données qui vaillent la peine d’être dérobées. Même les plus petites entreprises ont forcément des données telles que des coordonnées de clients, des données de ressources humaines, des documents financiers et des conceptions de prototypes. En fait, il y a quelques années, la société de pièces automobile d’un de mes amis a quasiment fait faillite lorsqu’un concurrent a réussi à subtiliser son catalogue de pièces interne avec les coordonnées de tous ses fournisseurs. Autrement dit, selon moi, que vous soyez un grand groupe international ou une startup d’une personne, vos données ont probablement plus de valeur que vous ne le pensez. Elles peuvent intéresser des concurrents qui veulent accroître leur part de marché ou un salarié mécontent qui souhaite se venger de l’entreprise. Quel que soit le cas de figure, un des meilleurs moyens de protéger vos données est de prévenir les fuites. En d’autres termes, vous devez empêcher quiconque d’être en mesure de quitter vos locaux avec vos données..

Petit historique des solutions

Comment s’y prendre pour stopper les fuites de données ? Au fil des années, j’ai vu certaines entreprises prendre des mesures plutôt radicales en la matière. Par exemple, au milieu des années 1990, j’ai réalisé un audit de sécurité pour un client qui croyait dur comme fer qu’il avait résolu le problème en retirant les lecteurs de disquette de tous ses postes de travail (cette histoire est passée quasiment inaperçue à l’époque). Malgré tout, j’ai réussi à sortir des données de l’entreprise en connectant un appareil photo numérique au port série d’un PC (avant l’avènement des ports USB) et à copier les données vers la mémoire de l’appareil.

Quelques années plus tard, beaucoup d’entreprises ont commencé à réaliser que les périphériques USB de stockage de masse permettaient de copier des volumes importants de données vers un périphérique amovible. Pendant un temps, une solution populaire a consisté à désactiver tous les ports USB en les colmatant avec de la colle époxyde. Bien que relativement efficace, cette solution était à court terme car la désactivation des ports USB entraînait souvent d’autres problèmes. Par exemple, une personne m’a appelé un jour pour savoir comment retirer la colle car elle avait brusquement besoin d’utiliser un scanner USB.

Même si, a posteriori, certaines des premières tentatives de contrôle des fuites données prêtent à rire, les mesures radicales prises alors par certaines entreprises soulignent bien toute l’importance de la protection de vos données contre les utilisations frauduleuses.

Appréhender le défi

La prévention des fuites de données est l’un des défis les plus ardus auxquels vous pouvez être confronté sur le plan de la sécurité. La raison à cela est toute simple : stopper une fuite de données n’a rien à avoir avec bloquer un accès aux données. Dans la majorité des situations qui m’ont été rapportées, les utilisateurs à l’origine de fuites disposaient d’un accès tout à fait légitime aux données. Par conséquent, le défi ne consiste pas à empêcher l’accès des utilisateurs aux données, mais à contrôler les actions qu’ils peuvent effectuer sur celles-ci.

Pour relever ce défi, la première étape consiste à répertorier les différentes formes possibles de fuite de données. Ensuite seulement vous pourrez prendre les mesures de prévention appropriées. Cet article présente différentes formes courantes de fuite des données. Néanmoins, ayez à l’esprit que chaque entreprise est différente et pourra avoir des vulnérabilités qui lui sont propres.