Chiffre clé

78% des fuites proviennent de personnes internes à l’entreprise

Dans tous les secteurs d’activité l’outil informatique prend de plus en plus de place et devient un organe vital de gestion, d’organisation, de communication et de production traitant un nombre croissant de données. Les systèmes regorgent d’informations qui prennent de plus en plus de valeur à mesure que les capacités d’analyse et d’interprétation de ces données progressent.

Il est donc de plus en plus critique de garantir la sécurité de ces données et de gérer les risques de perte, diffusion ou corruption, que ces risques soient internes ou externes à l’entreprise.

Deux chiffres pour rappeler l’importance de ces risques :

2,86 M€  le coût moyen d'une violation de données en France
90 des entreprises ont été victimes de vol ou de perte de données confidentiels au cours des 12 derniers mois

Les menaces concernent tous les types de données, mais les données personnelles et la propriété intellectuelle sont particulièrement à risque.

Les entreprises sont amenées à gérer un volume croissant de données mais disposent encore de peu de contrôles pour faire face aux risques de fuite. Le manque de maturité des entreprises françaises sur ce sujet amplifie le manque de maturité générale en matière de gestion des risques :

  • 54%  est l’indice de la maturité de gestion de risques des entreprise françaises
  • Seules 45% des entreprises ont mis en place un plan de gestion des risques
  • 38 % des entreprises ne mesurent pas l’efficacité de leur plan de gestion des risques
  • 60 % des entreprises donnent la priorité à la réduction des coûts sur celle des risques

Si le risque externe est depuis de nombreuses années une préoccupation essentielle des DSI et RSSI, le risque interne est encore souvent perçu comme moins critique.

78% de fuites internes

Contrairement aux idées reçues, les collaborateurs internes à l’entreprise constituent la cause majeure de fuite de données. Celle-ci peut prendre deux formes :

  • Fuite intentionnelle sous forme de partage d’informations confidentielles, vol de documents d’entreprises, d’ordinateurs portables, de téléphones ou de périphériques de stockage (disques durs et de clés USB, etc.)
  • Négligence de la part des collaborateurs qui naviguent sur des sites non sécurisés, laissent leur session ouverte ou oublient des impressions de documents sensibles sur des imprimantes accessibles à une population externe

La lutte contre les fuites de données est avant tout une affaire de bonnes pratiques internes, une rapide analyse des pratiques courantes permet d’en saisir l’importance :

  • 39% des utilisateurs de clés USB les utilisent pour des transferts entre le travail et le domicile
  • 60% des données professionnelles sont stockées sur le poste de travail
  • 90% des pertes de données ne sont pas intentionnelles
  • Plus d'un salarié sur deux ne mesure pas l'importance de protéger l'information

Stratégie de sécurité des données

La lutte contre les fuites de données internes passe par la définition d’une stratégie qui prend en compte les spécificités de l’entreprise et les pratiques internes : catégorisation des données, catégorisation des utilisateurs, analyse des usages de l’entreprise, contraintes métier, marché et réglementaires.

La stratégie doit intégrer la définition de bonnes pratiques mais également leur modalité de contrôle, de diffusion et d'application dans la durée.

Enfin, il est essentiel de choisir les solutions de protection pertinentes en regard des besoins initiaux en visant les bonnes catégories d’outils : chiffrement, masquage statique et dynamique, transfert sécurisé, Data Loss Prevention, data tracking

Sources : Forrester, PwC et Iron Mountain