Comment détecter une fuite de données ?

Toutes les précautions du monde ne garantissent pas qu’aucune donnée sensible n’aurait fuité. Les brèches et les accidents sont toujours possibles, et dangereux : renseignement exploité par un concurrent, chantage, perte de confiance des clients, amendes liées au RGPD, informations utilisables pour construire une cyberattaque, etc.

C’est pourquoi, dans le cadre des bonnes pratiques d’intelligence économique en matière de cybersécurité, le travail de veille sur le patrimoine informationnel de l’entreprise doit se poursuivre aussi « en aval », sur les données qui se sont répandues à l’extérieur du réseau de l’entreprise. Les efforts pourront être plus ou moins importants selon le degré d’importance de ces données.

Première chose à faire : s’apercevoir de la fuite

La première chose à faire est déjà de s’apercevoir de la fuite, et de tracer les informations qui ont échappé à l’entreprise. En effet, selon une étude d’IBM publiée en 2021, il faut en moyenne 287 jours pour repérer et colmater une fuite. Car toutes les pertes d’information ne sont pas causées par une cyberattaque « visible » qui paralyserait le système informatique, ou ne donnent pas lieu à un rançongiciel, qui agit comme un signal d’alarme. 43% des violations de données ont une source interne selon la société de sécurité informatique Proofpoint. Cela peut être une négligence, une volonté de nuire de la part d’un salarié qui communique une information en douce, une information transmise à un concurrent par un collaborateur qui s’est fait manipuler dans le cadre d’une opération d’espionnage économique… Ce type de perte d’information peut passer inaperçu.

En cas de fuite, les entreprises n’ont généralement pas d’autre choix que de faire appel à un prestataire spécialisé, qui connaît notamment les forums où peuvent se vendre les informations et dont une grande partie des opérations est automatisée. La veille consiste à trouver où sont les informations, à vérifier qu’il s’agit de documents authentiques (il arrive que des documents en vente sur les forums cybercriminels soient des faux), et à essayer de les récupérer.

Précisons que les prestataires qui pratiquent la recherche sur internet de fuites d’informations doivent respecter le règlement général sur la protection des données (RGPD) et le code pénal. En effet, trouver et utiliser des données qui se seraient retrouvées de façon illégale sur le dark web peut entraîner des poursuites judiciaires.

Les PME doivent s’y mettre sérieusement

Mettre en place ce type d’opérations est plus aisé dans les grandes entreprises, qui disposent systématiquement d’un responsable de la sécurité des systèmes d’information (RSSI) ayant des moyens et un budget, voire d’un responsable de l’intelligence économique en lien avec le RSSI. Dans les PME, où la fonction RSSI n’est pas toujours présente, le secrétaire général du Clusif Loïc Guézo conseille aux chefs d’entreprise d’avoir au moins un collaborateur formé à qui s’adresser au sein de l’équipe informatique pour régler ce genre de questions.

Le Clusif insiste sur le fait que les PME ne doivent pas négliger les fuites d’informations, surtout si elles travaillent, même indirectement, pour des grands groupes. « La direction générale doit être sensibilisée au sujet. Il faut bien avoir conscience que, même si une PME n’est pas persuadée de la valeur intrinsèque de ses données, celles-ci peuvent intéresser des personnes malveillantes – par exemple pour servir de tremplin pour attaquer un donneur d’ordre. Aujourd’hui, la supply chain est un gros sujet en cybersécurité. Les premières lignes sont généralement bien sécurisées, c’est pourquoi les pirates s’attaquent au deuxième maillon de la chaîne », explique Loïc Guézo.

À l’appui de cette mise en garde, une étude d’Intel citée par Proofpoint indique que 60 à 70% des incidents de perte de données dans les PME justifient une divulgation publique ou peuvent avoir un impact financier négatif. Moralité, il n’y a pas de petit incident qui ne nécessite un effort de suivi.