[En pratique] Comment sécuriser efficacement ses données clients ?

Un tiers des professionnels du marketing travaillent à domicile deux à quatre jours par semaine, selon une étude réalisée, en 2014, par l'institut Opinion Matters pour le compte d'Iron Mountain (spécialiste des risques associés à la protection et à la conservation de l'information). 48% d'entre eux échangent des documents liés au travail sur leur boîte mail personnelle, parfois même via un réseau sans fil non sécurisé (12%). Cependant, seul un tiers des employeurs interrogés ont un accès sécurisé à l'intranet ou des règles pour traiter les informations sensibles. Pourtant, en 2011, Sony s'est fait dérober les coordonnées bancaires de millions d'utilisateurs de sa plateforme Play Station Network. Attention : selon le Code pénal, "tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d'information) et adaptées à la nature des données et aux risques présentés par le traitement". Le non-respect de cette obligation est passible de cinq ans d'emprisonnement et de 300000 euros d'amende.

1. Systématiser l'usage du VPN

Parmi les évolutions les plus notables des usages, le BYOD (Bring Your Own Device) complique sensiblement la tâche des responsables de la sécurité informatique, qui ne sont plus maîtres de la sécurité des équipements informatiques utilisés par les salariés. Aussi, pour éviter que les données ne soient interceptées par une personne mal intentionnée, il convient de généraliser le recours au VPN. Acronyme de Virtual Private Network, il permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), qui autorise le transit des données sécurisées par des algorithmes de cryptographie. De cette façon, lorsqu'un utilisateur accède au réseau privé virtuel, sa requête est transmise en clair au système passerelle, qui se connecte au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis transmet la requête de façon chiffrée.

2. Multiplier les sécurités

Si la sécurité totale n'existe pas, il est toutefois possible de compliquer la tâche aux indélicats en multipliant les couches de protection. Sécuriser le front office, c'est bien, mais il faut négliger ni le back-office ni les passerelles qui existent entre les deux. Les différentes strates de protections d'abord déployées sur les accès serveurs, puis sur les accès aux bases, et les protocoles d'extraction de données sont autant de freins qui ralentissent l'action des personnes mal intentionnées. Des freins qui au mieux découragent, au pire permettent de gagner du temps.

3. Bien équiper ses salariés

Le plus sage est de fournir à ses salariés du matériel dont on contrôle la maintenance et la sécurisation. Ainsi, l'entreprise garde la main sur les applications installées sur les machines. Une autre bonne pratique consiste à installer des logiciels de destruction de données à distance, utiles en cas de vol ou de perte du matériel. Mais il est de plus en plus difficile d'imposer aux salariés, toujours plus nomades, d'accepter ce genre de politique.

4. Généraliser le chiffrement des échanges

Lorsque les données transitent d'un serveur à un ordinateur, elles peuvent être interceptées. Le risque zéro n'existe pas, mais il est possible de rendre les données illisibles à celui qui ne dispose pas d'une clé donnée. C'est ce que l'on appelle le cryptage SSL (pour Secure Socket Layer). Un moyen pour sécuriser les échanges de données avec l'extérieur. Il est aussi crucial de déployer de tels protocoles de sécurisation sur l'ensemble des interfaces, y compris au sein de l'entreprise. L'usage d'applications en mode Saas rend encore plus indispensable l'usage de solutions de chiffrement.

5. Vérifier les certifications

En avril 2014, Orange a notifié à la Cnil une violation de données personnelles, liée à une défaillance technique de l'un de ses prestataires, concernant les données personnelles de près de 1,3 million de clients. Le préjudice sur l'image est souvent bien plus grand que le préjudice matériel. En effet, même si vous avez déployé un arsenal de protocoles de sécurité, vous demeurez à la merci des agissements des prestataires à qui vous avez fait confiance... Avant de signer un accord, vérifiez leurs certifications (ISO 27001 par exemple qui garantit un certain niveau de sécurité de l'information) et surtout n'hésitez pas à les mettre à l'épreuve...

6. Gérer les profils d'accès

Une bonne sécurité nécessite une gestion très scrupuleuse des comptes utilisateurs. Il convient de créer des profils très segmentés, d'octroyer des privilèges d'accès à certains utilisateurs, liés à certaines opérations. La gestion des comptes permet non seulement de contrôler les interactions des salariés avec le fichier client, mais aussi d'obtenir une traçabilité précise des opérations. Lorsque des dysfonctionnements sont repérés, il est ainsi possible d'identifier celui qui a mis en péril l'intégrité des données et de corriger le tir plus rapidement.

7. Effectuer des analyses

Lorsque les attaques sont insidieuses, elles peuvent mettre du temps à être détectées. On parle alors de Menace Persistante Avancée (ou APT pour Advanced Persistant Threat). Ces attaques s'appuient sur l'incorporation et l'exécution réussies de codes malveillants sur un réseau. Or, il existe des moyens pour repérer les indésirables, qui laissent toujours des traces de leur intrusion. Dans le cas d'un espion présumé, il faut le pousser à commettre des erreurs pour l'identifier et le confondre en analysant les flux de données afin de détecter les anomalies éventuelles. Parmi les fonctions d'Actito (une solution de marketing relationnel) par exemple, des algorithmes veillent en permanence sur les données marketing, détectent la moindre anomalie et lancent des alertes en cas de comportement suspect.

8. Simuler des attaques

Bien souvent, les systèmes de sécurisation des données sont soumis à des "crash tests". Mais qu'en est-il des utilisateurs? Il convient de les soumettre, eux aussi, à de vraies fausses tentatives de phishing pour essayer de leur faire divulguer leurs mots de passe. Ainsi, on peut détecter les maillons faibles et leur rappeler les bonnes pratiques à mettre en oeuvre. Chez Actito, on a recours aux services de Qualys, qui se charge de lancer des attaques sur les infrastructures, les serveurs et les données.

9. Sensibiliser les collaborateurs

L'être humain reste le premier facteur de fragilité de vos données. Beaucoup de solutions disposent de dispositifs ultra-sophistiqués de protection. Mais sans une réelle implication des collaborateurs, tout cela est inopérant. Chez OVH, une journée est prévue pour former chaque nouvel arrivant aux usages et aux bonnes pratiques de l'entreprise et un document de six pages décrit la politique de sécurité.

10. Fermer les comptes de vos ex-salariés

La DSI crée un compte pour chaque utilisateur du SI. Ces comptes, s'ils ne sont pas correctement suivis, finissent par constituer des brèches de sécurité dans le système d'information. Combien de PME oublient tout simplement de fermer les comptes des personnes ayant quitté la société? La DSI d'OVH a ainsi conçu une interface qui permet au service RH d'activer et de désactiver les comptes utilisateurs sans avoir à faire intervenir le service informatique.

11. Faire des sauvegardes

Une nouvelle menace fait rage aujourd'hui: la rétention de données. Le principe est simple, un programme empêche l'accès à votre fichier clients si vous ne vous acquittez pas d'une rançon. Ces logiciels, appelés Ransomwares, font des ravages. Très récemment, Bitdefender a découvert une campagne de spam diffusant une nouvelle version du ransomware CTB Locker, qui cible particulièrement les entreprises francophones. Les e-mails sont écrits dans un français correct et se présentent sous la forme de diverses interactions telles qu'une facture ou une plainte d'un client et peuvent même usurper l'identité d'un salarié de l'entreprise. Une pièce jointe à ces e-mails, au format .cab, dissimule le programme malicieux. À l'exécution, ce dernier chiffre les lecteurs réseaux, disques durs internes et externes ainsi que toutes les sauvegardes se trouvant dans le périmètre accessible. Mieux vaut dès lors, effectuer des sauvegardes régulières sur différents serveurs distants pour rétablir au plus vite et dans les meilleures conditions, un accès "normal" à vos données marketing.

12. Ne pas relâcher l'attention

L'une des erreurs les plus fréquemment commises par les entreprises consiste à se croire à l'abri du danger sous prétexte qu'elles ont mis en place un dispositif sécuritaire solide. Or, la sécurité est une quête permanente, un processus itératif qui n'admet aucune certitude. C'est bien en acceptant une perpétuelle remise en questions des habitudes, des usages, ou encore en procédant à des tests réguliers que l'on parvient à maintenir un niveau de sécurité suffisant. Les personnes qui veulent voler des données le font rarement pour leur propre compte, mais plutôt dans l'objectif de les revendre. Plus vous leur compliquerez la tâche, plus vous aurez de chances qu'elles s'orientent vers une proie plus facile...