Quelle valeur ont vos données professionnelles ?
Les données, première valeur de l’entreprise.
Ces dernières années, les données professionnelles sont devenues multi-formats, issues de sources multiples et parfois extrêmement volumineuses. Elles forment le patrimoine numérique de l’entreprise. Une bonne utilisation de ces informations peut générer de réels avantages commerciaux et opérationnels. Au quotidien, ces différentes sources d’information développent le business et facilitent les prises de décision. La majorité des données que les entreprises collectent, créent et gèrent ne sont pas aujourd’hui assez structurées. On les retrouve dans des documents de traitement de texte, des feuilles de calculs, ou encore des images et vidéos…
Supposons que nous puissions vendre ces données, quel en serait alors le prix ? Que vaut un log de connexion, un historique de navigation sur le Web ? Ce prix est-il le même pour tous ? Et qui le détermine ?
Nous avons rédigé cet article pour vous aider à mieux comprendre comment les données professionnelles peuvent être utilisées et leur valeur monétaire.
Toutes les données ne se valent pas, à combien estimez-vous le patrimoine numérique de votre entreprise ?
Pour comprendre la monétisation des données professionnelles, il faut d’abord avoir cerné ce que sont vos « données sacrées ». Les données sur les clients, les commandes, les articles en stock, les données sur les employés, toutes ces informations forment l’essentiel des dossiers d’entreprise. À mesure que les entreprises se développent, ces données commencent à prendre des sens différents et à offrir une possibilité supérieure d’analyse pour les différents services de l’entreprise. Les entreprises doivent identifier clairement leurs données transactionnelles essentielles et s’assurer de l’intégrité de celles-ci.
Il faut se poser la question du type de données professionnelles qui peuvent être collectées et essayer de comprendre ce qui peut en être déduit sur l’organisation de l’entreprise.
Par exemple, dans le commerce de détail, les « données sacrées » sont les bons de commande. Dans le cas des soins de santé, les données sacrées sont les dossiers médicaux des patients.
Au niveau professionnel, nous avons tous au moins une fois entendu parlé de cyberattaque et des coûts liés aux « ransomware ». Les pirates s’attaquent aux données essentielles des entreprises et profitent aussi de certaines périodes plus propices que l’on appellera les « moments de vie ». Par exemple, la période estivale, qui rend les entreprises plus vulnérables car les services comptabilité et financiers sont parfois réorganisés, les dirigeants partent aussi en congés, et sont moins facilement joignables par les collaborateurs restés au bureau… La valeur des données d’une entreprise doit être mise en perspective avec les attaques dont elle peut faire l’objet.
Bon à savoir : Le rapport » Cost of Data Breach » d’IBM Security révèle le coût moyen d’une fuite de données en France. En 2020, le coût moyen d’un enregistrement compromis s’élève à 139€ !
Quelles attaques et ce que peuvent faire les pirates avec vos données professionnelles ?
Qu’advient-il des données en fuite ?
Les entreprises disposent de nombreuses informations « personnelles » sur leurs employés, clients et fournisseurs. Ces données transitent souvent par la messagerie, sur des clés USB, des fichiers accessibles à tous… Avec ce qui suit, nous avons collecté sur le web plusieurs sources permettant d’identifier la valeur de ces données. Les données professionnelles sont forcément à mettre en parallèle avec les données personnelles.
- Parmi les données proposées sur le Dark Web, par exemple, un compte Gmail s’affiche à plus de 155 dollars.
- Un pack ” fullz ” regroupe plusieurs données : la date de naissance, le numéro de sécurité sociale, le numéro de téléphone, le numéro de permis de conduire et les informations bancaires d’une victime. Ces informations peuvent être utilisées pour une nouvelle forme de fraude appelée « SIM hijacking « . Grâce à ces informations, le hacker peut convaincre un opérateur qu’il a perdu sa carte SIM pour en obtenir une nouvelle. Une fois activée, la carte SIM permet au criminel de prendre le contrôle du numéro de téléphone de la victime pour réinitialiser ses mots de passe sur le web et vider tous ses comptes en banque. Et s’il s’agit de votre smartphone professionnel ? ! Pour éviter que vos données soient achetées sur le Dark Web, pensez à utiliser un mot de passe complexe et différent pour chaque site web que vous utilisez. Et si vous êtes victime d’une fuite de données, changez immédiatement tous vos mots de passe.
Pour aller plus loin : consultez cet article qui répertorie le prix des données sur le marché noir.
- Lors d’une conférence organisée par la CPME en Loire-Atlantique, nous avons relevé une autre technique d’attaque qui augmente sérieusement ces derniers temps : l’usurpation d’identité destinée à obtenir un faux ordre de virement (FOVI). Par exemple, un hacker attend que l’un des cadres ou dirigeants se connecte à un réseau public pour accéder aux données de l’appareil connecté et récupérer un ensemble d’éléments utiles pour usurper son identité : logo de l’entreprise, signature de mail, pièces jointes, charte graphique… Il pourra ensuite, envoyer un mail au directeur financier pour lui donner un faux ordre de virement (FOVI ou arnaque au président). Cette fois encore, l’impact financier est bien plus conséquent que l’argent détourné.
+ de 30 cas depuis 2 ans dans le département 44 avec un préjudice estimé à 2M€
Ce qu’il faut faire pour limiter les risques
Aucun système n’est infaillible, et n’importe qui peut se faire voler ses données ; le but du jeu est donc de rendre la tâche beaucoup plus difficile et donc moins rentable pour les criminels.
Consultez notre infographie sur les risques numériques
Dites stop aux idées reçues !
Je ne suis pas concerné, mes données n’intéressent personne. je suis une petite structure, une protection gratuite est suffisante, je suis prudent sur internet, je le verrais si mon PC était infecté par un virus, je suis sur Mac ou Linux, je n’ai pas besoin de protection…
Lors de la conférence CPME, un intervenant de la Gendarmerie Nationale a présenté les tentatives d’intrusion relevées en 2019 pour un particulier avec un accès internet grand public : 9 accès frauduleux ont été détectés en provenance du monde entier !! Imaginez pour une entreprise, le risque augmente d’autant plus qu’elle traite beaucoup plus de données.
Comprendre les impacts pour mieux se protéger
- Impact juridique : allant parfois jusqu’à une implication pénale, et plaintes de clients
- Impact financier : perte sur le chiffres d’affaires
- Impact sur la réputation, l’image de marque
- Impact opérationnel : une fuite de données c’est aussi une fuite de savoir-faire
Pour illustrer le coût d’une cyberattaque, le conférencier a pris l’exemple d’une PME bretonne qui a subi 15 jours de crise « dure », 30 000€ de perte moyenne auxquels se sont ajoutés 8 000€ de reprise du système d’informations.
Pour compléter et connaître le coût d’une cyberattaque, nous avons trouvé cet article et nous vous invitons à utiliser leur cyber-calculator avec le profil « responsable d’une entreprise ».
Les cyber-gestes barrières
Comment protégez-vous les données de votre entreprise ?
Activation de l’authentification multifacteurs (MFA) pour les services sensibles ? Utilisation de différents mots de passe ? Utilisation de mots de passe forts ? Changement des mots de passe à une certaine fréquence ? Utilisation d’une clé d’authentification ?
Voici nos recommandations
Mises à jour – Contrôle d’accès – Distanciation numérique – Osez en parler
- Gérez les droits de connexion (Attention à la session « administrateur »)
- Soyez méfiants sur les courriels non sollicités
- Faites faire un audit d’exposition pour vérifier la bonne étanchéité de votre système
- Portez plainte et signalez l’agression sur le portail Cybermalveillance.gouv.fr
- Osez en parler démontre que cela n’arrive pas qu’aux autres
Chez Quietic, on ne le répétera jamais assez : la sensibilisation de vos collaborateurs est votre meilleur atout pour ralentir un vol de données.
Contactez-nous pour faire un audit et connaître notre programme de sensibilisation
L’ANSSI recommande de mettre en place un PACS (plan d’amélioration continue de la sécurité). PACSez-vous avec Quietic ! Votre partenaire sécurité !