Des données d’entreprises disparues, divulguées ou inaccessibles ne sont pas toujours le résultat de cyberattaques. Des clés USB perdues, des bruits de destruction ou les pannes de matériel prouvent que les causes des pertes de données sont variées.
Pas moins d’un tiers des PME suisses sont concernées par des cyberattaques. C’est ce que montre une étude de l’institut d’études de marché et de recherche en sciences sociales gfs-zürich réalisée en 2017 au cours de laquelle 300 CEO de PME suisses ont été interrogés. Ses résultats ont ensuite été extrapolés à toute la Suisse. La plupart des entreprises s’estiment, à tort, bien protégées contre les risques sur les réseaux: le risque de devenir victime d’une cyberattaque et de souffrir d’un vol de données ou d’un cryptage de données assorti d’un chantage continue d’être sous-estimé, pour autant que le risque soit même envisagé. Les résultats de l’étude sont sans aucun doute alarmants et d’autres enquêtes montrent même que la majeure partie des PME suisses ont d’ores et déjà subi des cyberattaques. Pourtant, à chacun de ces avertissements, les responsables oublient très vite une chose: dans les entreprises, les données ne sont pas uniquement perdues du fait de virus, de chevaux de Troie ou d’instruments similaires.
Nos six exemples montrent que les causes des pertes et des fuites de données sont variées ou qu’elles peuvent même ne pas être découvertes:
1. Aéroport de Londres-Heathrow: amende à cause d’une clé USB perdue
Près du Queen’s Park de Londres, un chômeur a trouvé une clé USB dans la rue contenant des informations «révélatrices» sur l’aéroport de Londres-Heathrow: les données non cryptées indiquaient notamment les emplacements des caméras de surveillance, les issues de secours et les temps d’intervention des patrouilles de police. Même l’itinéraire de la reine Elizabeth II menant à l’aéroport ainsi que les mesures de protection de celle-ci et d’autres politiciens en vue se trouvaient sur la clé. L’homme a remis la clé au Sunday Mirror qui l’a transmise à la direction de l’aéroport, à la suite de quoi toutes les mesures de sécurité de l’aéroport ont été revues. Les analyses ont indiqué qu’un formateur sécurité avait compilé les données sur la clé qu’il avait perdue en se rendant au travail. Sa négligence a coûté cher au gestionnaire de l’aéroport: Heathrow Airport Limited a dû s’acquitter d’une amende de 120 000 livres.
2. Des failles de sécurité démolissent Yourtaxi
Yourtaxi, une start-up zurichoise fondée en 2017, était un concurrent sérieux d’Uber en Suisse. Moins d’un an plus tard, elle mettait la clé sous la porte. À cause d’une panne de données: en raison de failles de sécurité, des données sensibles de milliers de clients étaient tout simplement visibles sur Internet ou consultables sur l’appli pour smartphone après quelques petites manipulations. Il s’agissait par exemple de noms, de rapport de trajets, de numéros de téléphone, d’adresses e-mail et de photos de profils. La cause de la fuite de données: l’appli a été programmée par l’entreprise indienne Moon Technolabs et n’était pas cryptée alors que des pièces d’identité et des coordonnées bancaires des chauffeurs Yourtaxi y étaient aussi stockées. Il était même possible de les modifier grâce à la faille de sécurité. Bien que quelques-uns des problèmes aient été résolus, il n’y a pas eu de mise à jour de l’appli. L’entreprise a désactivé son service et démantelé son site Internet peu après.
3. Radio 3Fach perd 16 ans d’historique de la station
3Fach a appris à ses dépens que même les radios locales ne sont pas à l’abri de catastrophes informatiques. En 2014, tout le système de serveurs de la station de radio des jeunes lucernois s’est effondré, même les serveurs miroirs. Le problème a été remarqué lorsqu’une chanson ne passait plus qu’en boucle et que les employés de la radio ne pouvaient plus accéder aux disques durs. L’hébergeur responsable avait bien essayé de rétablir les données mais il n’y était pas parvenu. Une immense perte de données: des émissions sur une période de 16 ans, la liste des membres et une bibliothèque musicale de 35 000 chansons avaient disparu. «Nous sommes revenus à notre point de départ», indiquait 3Fach qui a fait ses émissions pendant un certain temps sous forme réduite sous le nom d’«Absturz 3Fach» (triple crash). Il n’a pas été possible de reconstruire exactement ce qui avait conduit à l’effondrement des serveurs. 3Fach avait toutefois sauvegardé quelques contributions sur le service musical en ligne Soundcloud, si bien qu’elle en disposait toujours après la catastrophe.
Archivage et sauvegarde de données
Avec Swisscom, vous stockez vos données en toute sécurité dans le cloud dans un centre de calcul suisse. Et la sauvegarde automatique dans le cloud protège votre entreprise contre la perte de données.
4. Digiplex: un bruit dans le local des serveurs retarde le négoce en bourse
Même le bruit peut déclencher des pannes de données lourdes de conséquences, le centre de calcul suédois Digiplex ne le sait que trop bien. Un bruit intense provenant des buses d’une installation d’extinction à gaz activée y avait détruit de nombreux disques durs: L’onde de pression du bruit avait manifestement déformé les boîtiers des disques durs, si bien que les particules magnétiques et la tête de lecture et d’écriture sensible qu’ils contenaient étaient endommagées. Des systèmes hébergés de la plateforme boursière Nasdaq Nordic ainsi que de deux banques scandinaves ont été touchés. Conséquence: le début du négoce boursier en Suède, en Finlande, au Danemark, en Islande et dans les États baltes a été retardé de plusieurs heures jusqu’à ce que le système de sauvegarde soit enclenché. Comme Nasdaq ne louait que le local dans le centre de calcul et qu’il n’y avait pas assez de serveurs dans toute la Suède pour remplacer les anciens, la bourse avait dû en faire venir par avion.
5. La maison de retraite se fait toute petite lors d’une cyberattaque
Les hackers ne renoncent même pas devant une maison de retraite: en 2017, les données électroniques du centre régional pour personnes âgées Schöftland ont été cryptées par un cheval de Troie implanté dans le système, si bien que personne ne pouvait plus y accéder. Le maître-chanteur exigeait 1 bitcoin, soit à l’époque près de 7500 francs, pour décrypter les données. Bien qu’il soit déconseillé de verser la somme exigée suite à une cyberattaque, la maison de retraite a payé. Par rapport à la perte de données qui menaçait la maison de retraite, le paiement de la somme était un moindre mal. L’attaque n’a heureusement fait de mal à personne. Et comme l’établissement gérait les dossiers de ses patients manuellement sur des fiches, l’exploitation n’a elle non plus pas été gravement affectée, même si la sauvegarde depuis le cloud aurait pu être plus rapide et plus pratique.
6. Un employé d’UBS vend des données de clients
En 2012, un ancien employé d’UBS a collecté au moins 233 données de clients et les a vendues pour plus d’un million d’euros aux autorités du land allemand de Rhénanie du Nord-Westphalie. Le banquier avait recherché les ayants droit économiques de fondations et de fiducies où les autorités allemandes ont procédé à des perquisitions ou à des enquêtes quelques mois plus tard. Mais l’affaire s’est ébruitée: seuls des employés avaient accès à certaines des données. Lorsque son domicile a été perquisitionné, les policiers y ont trouvé non seulement des munitions prohibées mais il a également tenté de détruire une carte SIM qui contenait des informations sur un achat de maison en Espagne. Il revendait le bien à peine un an plus tard, en subissant une perte, ce qui a conduit les enquêteurs à le soupçonner de blanchiment d’argent. Le tribunal a rendu son verdict le 21 janvier 2019 en l’absence de l’accusé: 40 mois de prison, un sursis de 270 jours-amende à 50 francs et des dommages-intérêts de 1,4 million de francs. L’accusé a également été condamné à s’acquitter des frais de procédure de près de 110 000 francs. Le jugement n’est pas encore définitif.
Cinq stratégies pour éviter les pertes de données
1. Établissez des sauvegardes selon la règle 3-2-1: trois copies sur deux technologies de stockage, dont une en dehors de l’entreprise. Avec une sauvegarde en dehors de l’entreprise, vous vous assurez que vos données seront préservées même en cas d’incendie ou de vol. Les services de cloud conviennent bien à cet effet.
2. Définissez les responsabilités: pour éviter tout malentendu, il faut bien définir qui est responsable du stockage des données dans l’entreprise. Cette personne est alors aussi l’interlocuteur en cas de questions ou de problèmes. Les droits d’utilisation des utilisateurs peuvent en outre être restreints au moyen d’autorisations.
3. Définissez la fréquence et le moment de la sauvegarde: les sauvegardes doivent être établies à intervalles réguliers (toutes les heures, tous les jours, etc.), en tenant compte du fonctionnement de votre entreprise. Si des données sont générées toutes les dix minutes, des sauvegardes toutes les heures sont peu utiles. À l’inverse, des sauvegardes trop nombreuses engendrent un surcroît de travail inutile.
4. Cryptez les données particulièrement sensibles: les sauvegardes externalisées devraient être cryptées pour protéger les données contre tout accès par des tiers.
5. Testez régulièrement la sauvegarde de données: une sauvegarde ne sert à rien si le rétablissement des données échoue. C’est pourquoi il faut vérifier le type de sauvegarde, la fonctionnalité et les supports de stockage. Simulez des situations graves réelles pour vous assurer que les données issues de vos sauvegardes peuvent vraiment être rétablies.
C’est un très mauvais conseil de crypter les données particulièrement sensibles. En cas de fuite, c’est comme de mettre une enseigne au néon pour indiquer où se trouvent les données intéressantes. Il faut crypter la totalité des données.