L’utilité du chiffrement n’est plus à prouver. Reste à savoir quelles données chiffrer pour bien vous protéger. Faisons un tour d'horizon des données les plus sensibles en entreprise.

Les tout premiers systèmes de chiffrement avaient pour unique but de préserver la confidentialité d’une information. Par exemple, la Scytale de Sparte, un système de chiffrement militaire de l’antiquité, servait à communiquer entre les différentes cités, grâce à un message écrit à la verticale sur une lanière de cuir. Le message n’était déchiffrable qu’en enroulant la lanière autour d’un bâton du même diamètre que celui utilisé pour l’encodage. Aujourd’hui, même si l’objectif de confidentialité reste inchangé, les applications en cybersécurité se sont étendues à la protection contre de nouvelles menaces.

Face à ces menaces, il pourrait être tentant de tout chiffrer, mais avec des volumes de données en perpétuelle augmentation, un chiffrement intelligent reste la meilleure solution pour faire face au défi de la protection de vos données.
Focus sur ce que vous devez chiffrer en fonction des risques qui pèsent sur votre organisation !

Le moyen le plus sûr d’identifier les informations à protéger dans une société reste de lancer un projet d’évaluation des actifs. Comme ce processus nécessite des ressources humaines et financières que les entreprises n’ont pas toujours, vous pouvez mettre en place un processus moins coûteux en ressource et qui assurera une première protection de vos actifs. Cette méthode vise à évaluer les types de risques qui pèsent sur votre société pour déterminer quelles données chiffrer en priorité. En fonction du secteur dans lequel vous évoluez et de la taille de l’entreprise, vous devriez aisément reconnaître quelles sont les principales menaces qui pèsent sur vous.

Le risque de non-conformité

Le risque de non-conformité se définit comme le risque de sanctions (financière, administrative, etc.) dues à l’absence de respect des réglementations en vigueur. Ce risque existe particulièrement dans les secteurs de la finance ou de la défense, mais pas que ! Une mauvaise gestion des données de vos clients peut entrainer une non-conformité au RGPD et impliquer des sanctions de la part de la CNIL pouvant aller jusqu’à 4% du CA ou 20 millions d’euros.

Quelles sont les données concernées ?

Lorsque vous souhaitez prévenir un risque de non-conformité au RGPD, vous cherchez avant tout à protéger la vie privée de vos clients ou utilisateurs. Vous devez respecter un ensemble de points dans le traitement des données de vos clients et les protéger en cas de fuite. C’est là que le chiffrement intervient.

Les données personnelles :

• les données personnelles de clients ou de prospects (adresses postales, adresses email, noms, numéros de téléphone, etc.) ;
• les informations bancaires  (numéro de carte bleue, information sur le compte bancaire, etc).

Les données sensibles :

• l’origine raciale ou ethnique ;
• les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ;
• le traitement des données génétiques ;
• des données biométriques aux fins d’identifier une personne physique de manière unique ;
• des données concernant la santé ;
• des données concernant la vie sexuelle ou ;
• l’orientation sexuelle d’une personne physique.

Consultez notre article pour découvrir comment Seald aide à prévenir le risque de non-conformité.

Le risque de cyber espionnage

L’ANSSI confirme qu’une part importante des attaques qu’elle traite relèvent de fait d’espionnage économique ou scientifique. Elles peuvent avoir de lourdes conséquences sur les intérêts de l’entité visée. La particularité de ces attaques provient de la discrétion dont font preuve les attaquants qui tentent de conserver un accès à distance le plus longtemps possible à vos données.

Quelles sont les données concernées ?

Les données internes :

• Opérations, salaires, recherche et développement.
• Client et informations client : Qui sont les clients de cette organisation ? Combien paient-ils et pour quels services ?
• Marketing et veille concurrentielle : Objectifs marketing à court et à long terme et connaissance des concurrents.

La propriété intellectuelle :

• les innovations techniques (les brevets d’invention, de produit, de procédé, les découvertes scientifiques, les résultats d’études) ;
• les signes distinctifs (une marque, une dénomination sociale, un nom commercial, une enseigne, le nom de domaine d’un site) ;
• les innovations esthétiques (les dessins, modèles ou design, les droits d’auteurs) ;
• les innovations numériques (les logiciels, les bases de données, les objets connectés, l’impression 3D) ;
• les secrets d’affaires (formules, modèles, techniques de vente, compilations de données qui peuvent procurer un avantage concurrentiel).

Consultez notre article complet sur les actions pour protéger votre propriété intellectuelle.

Le risque de cybercriminalité

Le risque de cybercriminalité est le plus commun, il touche aussi bien les particuliers que les grandes entreprises. Un exemple typique sont les campagnes de ransomware qui ont touché tous les profils entre 2016 et 2018. Très courant également, les attaques par phishing touchent aussi bien particuliers que professionnels. L’ANSSI parle de cybercriminalité, à partir du moment où l’attaque a un objectif financier.

Quelles sont les données concernées ?

Il peut s’agir de toutes les formes de données qui peuvent avoir un intérêt financier pour l’attaquant :

• des bases de données bancaires ;
• des informations d’identité (noms, adresses, copie de passeport, numéro de téléphone, email, mots de passe, orientation politiques) ;
• des informations qui peuvent impacter la valeur boursière de l’entreprise (résultats, rachat, fusion, etc.).

Le risque de déstabilisation

Ces attaques demeurent presque exclusivement le fait d’hacktivistes (contraction de « hacker » et « activistes ») qui relayent des informations privées sur les réseaux sociaux ou programme des attaques par déni de service (DDOS). Cela correspond par exemple au rôle qu’a eu la nébuleuse Anonymous durant le printemps arabe en 2011.

Le risque de déstabilisation correspond donc au risque de voir des informations révélées au public et qui auraient un impact négatif sur la réputation de l’institution visée. Par exemple :

échanges de mails confidentiels ;
• secrets d’affaires ;
• documents internes.

Enfin, n’oubliez pas que, quels que soient les types de données concernées, un des plus gros risques qui pèsent sur une entreprise reste la négligence des équipes.
Des collaborateurs qui ne sont pas formés aux bonnes pratiques de sécurité représentent une réelle menace pour l’organisation. Ils seront beaucoup plus exposés aux risques cités plus haut et seront moins attentifs à préserver la confidentialité des données de l’entreprise.

Maintenant que vous savez quelles données chiffrer, testez Seald !

Fin-article_Plan-de-travail-1-2