Des bases de données non, peu ou mal sécurisées constituent un véritable problème pour la protection des données personnelles des utilisateurs concernés, mettant leur vie privée au jour, avec la divulgation de données parfois sensibles.
Au cours de ces derniers mois, plusieurs bases de données ont été piratées, qu’il s’agisse de LinkedIn, où 92% des utilisateurs du réseau social ont vu leurs données dérobées en juin dernier, ou encore, plus récemment, du leak massif de données issues des montres connectées Fitbit, AppleWatch ou Google Fit, posant la question de la sécurité des données des utilisateurs de ces services.
Des raisons diverses aux fuites de données
La fuite de données n’est hélas pas un phénomène nouveau. En effet, celle-ci existe depuis que les entreprises ont été amenées à traiter de l’information quelle qu’elle soit, mais du fait de la prise de conscience de la valeur potentielle de la donnée sur le marché actuel, il est certain que celles-ci sont de plus en plus prisées, avec les fâcheuses conséquences jalonnant quotidiennement les médias.
La fuite de données peut être issue d’une erreur humaine, d’une mauvaise sécurisation du réseau, d’un vol physique…les causes sont diverses et variées.
Dans le cas de LinkedIn, le vol s’est fait via les serveurs de l’entreprise, ainsi que par le biais des API – des interfaces de programmation, ou application programming interfaces telles que le système de paiement sur un site de commerce en ligne, un service envoyant des notifications push, ou qui fournirait un système de géolocalisation mobile-, qui permettent d’offrir un large panel de services, mais aussi d’y inclure des services issus de tierces parties.
Dans le cas de GetHealth, l’affaire des montres connectées, il s’agissait selon WebSitePlanet et le chercheur Jeremiah Fowler, d’une base de données non protégée par mot de passe. Le chercheur a signalé le problème, qui a été réglé en quelques heures. Cependant, on ne sait pas depuis combien de temps ce dossier, qui contenait les noms et prénoms, le pseudonyme, la date de naissance, le poids, la taille, mais également le genre et la géolocalisation des usagers a été laissé accessible. Les utilisateurs impactés seraient majoritairement des utilisateurs Apple Healthkit et Fitbit, au nombre de 60 millions environ, soit quasiment l’équivalent de l’ensemble de la population française.
Dans un rapport de mars 2021, Canalys annonce que les fuites de données en 12 mois ont été plus nombreuses qu’en 15 années combinées, les ransomwares n’ayant pas non plus épargné les hôpitaux.
La solution : les bonnes pratiques de cyberhygiène
La cyberhygiène est l’ensemble des pratiques permettant de maintenir la bonne santé d’un réseau, tout en assurant une protection optimale des données. Bien menée, elle permet de limiter les risques de vols de données, ou encore d’éviter l’intrusion de ransomwares et autres malwares.
Les problèmes pouvant survenir sont aisément identifiables et correctibles. La perte de données ou encore le mauvais classement de celles-ci, l’absence de mises à jour des appareils ainsi que des logiciels de sécurité sont autant de problèmes qui peuvent être évités grâce à des mesures simples. La faille de sécurité (hack, exploit, phishing, virus, malware…), demande quant à elle une surveillance constante.
La première chose à faire est de documenter les équipements ainsi que les programmes utilisés. Qu’il s’agisse de hardware, de software ou encore d’applications, tout doit être listé. Ainsi, il sera plus simple de vérifier que tout est ordonné, mais aussi de savoir quel matériel est actuellement utilisé ou a été emprunté.
Se servir de cette liste présente également l’avantage de pouvoir identifier les vulnérabilités d’un système : les équipements non-utilisés peuvent ainsi être formatés ou correctement recyclés. Les logiciels doivent être mis à jour, ou désinstallés s’ils ne sont plus utilisés et les mots de passe utilisateurs, changés régulièrement.
Par ailleurs, certains programmes et applications remplissant des fonctions identiques devraient être choisis à titre principal, quand d’autres peuvent alors être utilisés en cas de dysfonctionnement ou simplement être effacés.
Vers une politique de cyberhygiène commune et planifiée
Maintenir une bonne cyberhygiène nécessite des pratiques assidues, y compris dans le cas où plusieurs utilisateurs se partageraient un réseau de machines ainsi qu’une architecture de logiciels afin que l’accès à ces derniers se fasse dans de bonnes conditions.
- Mises à jour logicielles
- Mises à jour du hardware
- Changement de mots de passe : les mots de passe doivent être changés régulièrement afin d’éviter les activités frauduleuses.
- Préparation et documentation des installations : les installations doivent être faites dans les règles de l’art et surtout documentées afin de permettre un inventoriage à jour du hardware et du logiciel.
- Limitation des utilisateurs : seuls les utilisateurs nécessitant un mot de passe administrateurs pour certains programmes doivent être autorisés à accéder au contenu administrateur. Vérifier et révoquer les accès régulièrement permet d’accroitre la sécurité de l’entreprise.
- Sauvegarde des données : les données doivent être sauvegardées sur une seconde source, afin d’éviter toute perte en cas d’attaque ou de dysfonctionnement.
- Utiliser un framework de cybersécurité : le framework est un ensemble de processus documentés, dont l’utilité est de définir une stratégie ainsi que des procédures permettant de gérer et mettre en œuvre des contrôles de sécurité de l’information au sein de l’entreprise. Les plans détaillés utilisés pour constituer un programme de cybersécurité servent à définir les tâches nécessaires pour sécuriser l’information, mais aussi à prioriser ces dernières dans l’entreprise.
- Pratiquer régulièrement un tri et une suppression des données non utiles est également indispensable : combien d’entreprises conservent encore leurs registres de données sur 20 ans, voire plus ?
Enfin, une fois la politique de l’entreprise définitivement créée, une routine doit être mise en place à des moments précis : changement de mots de passe chaque mois, vérification des mises à jour planifiées par semaine…Ceci afin de permettre la pérennisation de ces mesures et maintenir un environnement d’entreprise sain.