Prenez conscience des risques associés à la perte de données
Le 12 juillet 2015, les salariés de l’entreprise Ashley Madison, un site de rencontre en ligne pour personnes mariées dont le slogan est « la vie est trop courte, vivez l’expérience d’un adultère » :waw:, découvrent une surprise en arrivant au bureau et en allumant leur ordinateur. La musique "Thunderstruck" du groupe AC/DC retentit à fond dans leurs hauts-parleurs, tandis que leur écran affiche un message leur ordonnant de fermer le site web de l’entreprise d’ici 30 jours, sous peine d’une divulgation massive des données de leurs clients et de leurs salariés.
Ils sont victimes d’une cyberattaque d’un groupe de hackers qui leur reprochent leur immoralité et leurs mensonges sur la prétendue protection totale des données de leurs clients. 30 jours après, l’entreprise n’a pas fermé son site web et mène l’enquête sur les données supposément dérobées, avec l’aide de la police et de consultants en cybersécurité.
Le 18 août 2015, les hackers passent donc à l’action. Au fil des jours, 20 Go de données confidentielles sont diffusées. Parmi celles-ci, des données des salariés (identité, documents internes, e-mails des dirigeants qui montrent des activités illégales de fraude fiscale et de piratage des concurrents…) et des clients (photos compromettantes, montants dépensés sur la plateforme, préférences sexuelles et même numéros de carte bleue que l’entreprise n’avait pas le droit de stocker dans ses bases de données !).
Finalement, les hackers ont déclaré que la sécurité des mots de passe avait été un point faible qu’ils avaient exploité. En effet, l’audit de sécurité réalisé par des consultants a révélé que pour un nombre significatif de salariés et d’utilisateurs, le mot de passe était tout simplement “123456”… Résultat des courses : plus de 30 millions de dollars à rembourser par l’entreprise aux utilisateurs dont les données ont été volées, certains ayant subi des conséquences très malheureuses comme le piratage de leur carte bleue, la découverte de leurs activités extraconjugales, et du chantage car leurs données étaient accessibles à tous sur Internet.
Comprenez les règles à suivre lorsque vous détenez des données sensibles
Si, pour votre projet, vous comptez utiliser des données sensibles comme des données :
personnelles sur les clients et/ou les salariés ;
financières (notamment pour les sociétés cotées en bourse) ;
et/ou confidentielles sur le fonctionnement de l’entreprise,
prenez le temps d'observer ces bonnes pratiques :
Sécurisation |
|
Conservation |
|
Information |
|
Identifiez les personnes à contacter dans votre environnement
Il est indispensable de connaître quelques interlocuteurs clés de la gestion des données en entreprise :
Le responsable de la sécurité des systèmes d'information (RSSI) : c’est le gardien de la sécurisation des données de l’entreprise. Il est souvent rattaché à la direction générale.
Le Chief Data Officer (CDO) : il a pour responsabilité la gouvernance et la qualité du traitement des données de l’entreprise. Il conseille les directions métiers sur le stockage, le traitement et la sécurisation de leurs données pour les valoriser.
Le Data Protection Officer (DPO) : mis en place par le Règlement général sur la protection des données (RGPD), il a un rôle juridique, et participe à la cartographie des données internes, à la sensibilisation aux bonnes pratiques, et aux audits sur la gestion des données.
Imaginons que vous travailliez comme Data Analyst dans une entreprise de location de voitures. Vous avez demandé à votre collègue Jean-Rodrigo du service commercial de vous envoyer la liste des clients les plus importants de l’entreprise, afin que vous puissiez analyser s’ils seraient susceptibles d’opter pour le nouveau service de l’entreprise : un abonnement mensuel avec location illimitée de voitures (trop bien !).
Comme c’est un fichier volumineux qui ne passe pas en pièce jointe de mail, il vous propose de vous l’envoyer en utilisant un service gratuit de transfert de fichiers par Internet.
À quels risques êtes-vous exposé en cas de vol des données clients lors de cette opération ? 😱
Réponse A : Se faire enguirlander par le RSSI de votre entreprise.
Réponse B : La perte des clients les plus importants de l’entreprise, et un impact négatif durable sur la marque de l’entreprise.
Réponse C : Une amende de 4 % du chiffre d’affaires, ou 20 millions d’euros.
Vous l’aurez compris, les bonnes réponses sont les réponses A,B.... et C !
En résumé
88 % des pertes de données sont liées à des mauvaises pratiques de salariés des entreprises ciblées par les cyberattaques.
Informer les utilisateurs du traitement fait de leurs données, sécuriser les données, et supprimer les données dont on n'a plus besoin, font partie des pratiques à respecter.
Informer votre CDO et le DPO de l’utilisation que vous faites des données dans vos projets est essentiel.
Le vol de données personnelles expose votre entreprise à une amende de 20 millions d’euros.
Dans le chapitre suivant, vous allez découvrir le cas pratique que vous suivrez jusqu'à la fin du cours, il vous aidera à avancer étape par étape !