Lundi 07 sep 2020
Quelle valeur ont vos données professionnelles ?
Les données sont la première valeur de l’entreprise. Quelle valeur ont vos données professionnelles ?
Ces dernières années, les données professionnelles sont devenues multi-formats, issues de sources multiples et parfois extrêmement volumineuses. Elles forment le patrimoine numérique de l’entreprise. Une bonne utilisation de ces informations peut générer de réels avantages commerciaux et opérationnels. Au quotidien, ces différentes sources d’information développent le business et facilitent les prises de décision. La majorité des données que les entreprises collectent, créent et gèrent ne sont pas aujourd’hui assez structurées. On les retrouve dans des documents de traitement de texte, des feuilles de calculs, ou encore des images et vidéos… Supposons que nous puissions vendre ces données, quel en serait alors le prix ? Que vaut un log de connexion, un historique de navigation sur le Web ? Ce prix est-il le même pour tous ? Et qui le détermine ? Nous avons rédigé cet article pour vous aider à mieux comprendre comment les données professionnelles peuvent être utilisées et leur valeur monétaire.
Toutes les données ne se valent pas, à combien estimez-vous le patrimoine numérique de votre entreprise ?
Pour comprendre la monétisation, la valeur des données professionnelles, il faut d’abord avoir cerné ce que sont vos « données sacrées ». Les données sur les clients, les commandes, les articles en stock, les données sur les employés, forment l’essentiel des dossiers d’entreprise. À mesure que les entreprises se développent, ces données commencent à prendre des sens différents et à offrir une possibilité supérieure d’analyse pour les différents services de l’entreprise. Les entreprises doivent identifier clairement leurs données transactionnelles essentielles et s’assurer de l’intégrité de celles-ci.
Il faut se poser la question du type de données professionnelles qui peuvent être collectées et essayer de comprendre ce qui peut en être déduit sur l’organisation de l’entreprise.
Par exemple, dans le commerce de détail, les « données sacrées » sont les bons de commande. Dans le cas des soins de santé, les données sacrées sont les dossiers médicaux des patients.
Au niveau professionnel, nous avons tous au moins une fois entendu parlé de cyberattaque et des coûts liés aux “ransomware”. Les pirates s’attaquent aux données essentielles des entreprises et profitent aussi de certaines périodes plus propices que l’on appellera les “moments de vie”. Par exemple, la période estivale, qui rend les entreprises plus vulnérables car les services comptabilité et financiers sont parfois réorganisés, les dirigeants partent aussi en congés, et sont moins facilement joignables par les collaborateurs restés au bureau… La valeur des données professionnelles d’une entreprise doit être mise en perspective avec les attaques dont elle peut faire l’objet.
Bon à savoir : En 2020, le coût moyen d’un enregistrement compromis s’élève à 139€ !
Quelles attaques et ce que peuvent faire les pirates avec vos données professionnelles ?
Des données par million en fuite
Les entreprises disposent de nombreuses informations “personnelles” sur leurs employés, clients et fournisseurs. Ces données transitent souvent par la messagerie, sur des clés USB, des fichiers accessibles à tous… Avec ce qui suit, nous avons collectés sur le web plusieurs sources permettant d’identifier la valeur de ces données. Les données professionnelles sont à mettre en parallèle avec les données personnelles.
Parmi les données proposées sur le Dark Web, par exemple, un compte Gmail s’affiche à plus de 155 dollars.
Un pack ” fullz ” regroupe la date de naissance, le numéro de sécurité sociale, le numéro de téléphone, le numéro de permis de conduire et les informations bancaires d’une victime. Ces données peuvent être utilisées pour une nouvelle forme de fraude appelée “SIM hijacking “. Grâce à ces informations, le hacker peut convaincre un opérateur qu’il a perdu sa carte SIM pour en obtenir une nouvelle. Une fois activée, la carte SIM permet au criminel de prendre le contrôle du numéro de téléphone de la victime pour réinitialiser ses mots de passe sur le web et vider tous ses comptes en banque. Et s’il s’agit de votre smartphone professionnel ? ! Pour éviter que vos données soient achetées sur le Dark Web, pensez à utiliser un mot de passe complexe et différent pour chaque site web que vous utilisez. Et si vous êtes victime d’une fuite de données, changez immédiatement tous vos mots de passe.
Pour aller plus loin : consultez cet article qui répertorie le prix des données sur le marché noir.
Lors d’une conférence organisée par la CPME en Loire-Atlantique, nous avons relevé une autre technique d’attaque qui augmente sérieusement ces derniers temps : l’usurpation d’identité destinée à obtenir un faux ordre de virement (FOVI). Le hacker attend que l’un des cadres ou dirigeants se connecte à un réseau public pour accéder aux données de l’appareil connecté et récupérer un ensemble d’éléments utiles pour usurper son identité : logo de l’entreprise, signature de mail, pièces jointes, charte graphique… Il pourra ensuite, par exemple, envoyer un mail au directeur financier pour lui donner un faux ordre de virement (FOVI ou arnaque au président). Cette fois encore, l’impact financier est bien plus conséquent que l’argent détourné.
+ de 30 cas ont été signalé depuis 2 ans dans le département 44 avec un préjudice estimé à 2M€
Ce qu’il faut faire pour limiter les risques
Aucun système n’est infaillible, et n’importe qui peut se faire voler ses données ; le but du jeu est donc de rendre la tâche beaucoup plus difficile et donc moins rentable pour les criminels.
Consultez notre infographie sur les risques numériques
Dites stop aux idées reçues !
Je ne suis pas concerné, mes données n’intéressent personne. je suis une petite structure, une protection gratuite est suffisante, je suis prudent sur internet, je le verrais si mon PC était infecté par un virus, je suis sur Mac ou Linux, je n’ai pas besoin de protection…
Lors de la conférence CPME, un intervenant de la Gendarmerie Nationale a présenté les tentatives d’intrusion relevées en 2019 pour un particulier avec un accès internet grand public : 9 accès frauduleux ont été détectés en provenance du monde entier !! Imaginez pour une entreprise, le risque augmente d’autant plus qu’elle traite beaucoup plus de données.
Pour illustrer le coût d’une cyberattaque, le conférencier a pris l’exemple d’une PME bretonne qui a subi 15 jours de crise “dure”, 30 000€ de perte moyenne auxquels se sont ajoutés 8 000€ de reprise du système d’informations. Pour compléter et connaître le coût d’une cyberattaque, nous avons trouvé cet article et nous vous invitons à utiliser leur cyber-calculator avec le profil “responsable d’une entreprise”.
L’ANSSI recommande de mettre en place un PACS (plan d’amélioration continue de la sécurité). PACSez-vous avec Quietic ! Votre partenaire sécurité !
