Lorsqu’une fuite accidentelle de données sensibles se produit, comme celle d’un code source privé ou interne, les entreprises entrent souvent dans une course effrénée, destinée à déterminer le degré d’exposition réel de leurs données sensibles. Une démarche d’autant plus futile qu’il n’y a pas de petite exposition. Les entreprises doivent absolument opter pour une approche plus pragmatique et considérer qu’à partir du moment où elle se produit, l’exposition est pleine et entière.
Une contribution d’Alexis Wales, RSSI, GitHub
Une année noire pour la violation des données
En 2024, la CNIL (Commission nationale de l’informatique et des libertés) a enregistré 5 629 violations de données, soit une augmentation de 20 % par rapport à 2023, les incidents prenant de plus en plus d’ampleur. Les acteurs malveillants, toujours motivés par l’appât du gain, ont visé des cibles variant considérablement d’un secteur à l’autre, des organismes publics aux opérateurs de télécommunications, en passant par les grands détaillants. Et les données volées étaient souvent revendues à des fins lucratives ou utilisées par la suite pour accéder à d’autres systèmes d’information.
Fuite de données : une évaluation inquantifiable
Imaginez que les données sensibles de votre entreprise se retrouvent accidentellement dans le domaine public. Un employé, par exemple, les a publiées par erreur sur un site public. La panique s’installe et le premier réflexe est souvent d’essayer de mesurer l’étendue de l’exposition. Qui y a eu accès ? Pendant combien de temps ? Quelqu’un les a-t-il téléchargées ? Ces questions sont parfaitement logiques, mais elles vous mèneront sur un chemin long et infructueux. En réalité, dès que vos données sensibles sont rendues publiques, tout le monde peut les voir. Internet est un espace vaste et anonyme et essayer de déterminer le degré exact d’exposition devient un exercice aussi inutile que vain. Un enjeu d’autant plus critique qu’avec le RGPD (règlement général sur la protection des données), le montant des sanctions pécuniaires en cas de violation peut aller jusqu’à 20 millions d’euros soit jusqu’à 4 % du chiffre d’affaires annuel mondial pour une entreprise. Des sanctions qui peuvent être rendues publiques, endommageant ainsi l’image et la réputation de l’entreprise.
Partir du postulat de l’exposition totale
Au lieu de vous attarder sur la question du degré d’exposition, vous devriez d’emblée envisager le pire. Vos données sensibles sont totalement exposées. Considérez cela comme une évidence. Acceptez cette hypothèse et vous pourrez commencer à prendre des mesures pratiques pour atténuer les retombées potentielles. Si ces données sensibles contiennent des secrets, tels que des clés API ou des jetons d’accès personnels, supposez qu’ils ont été compromis et mettez en œuvre immédiatement les actions nécessaires.
Les bonnes pratiques à suivre en cas de compromission
Tout d’abord, effectuez immédiatement une rotation de ces secrets afin d’empêcher tout accès non autorisé. Ensuite, concentrez-vous sur la compréhension de l’impact potentiel de l’exposition. Quelles vulnérabilités pourraient résulter de la fuite de données sensibles ? Pour y parvenir, effectuez une évaluation approfondie de la sécurité afin d’identifier et de traiter les risques en partant du principe que les données sensibles ont été entièrement exposées au public. Troisième point clé : une communication transparente avec les parties prenantes, les clients et le public est essentielle. Informez-les de la situation, des mesures que vous prenez pour atténuer les risques et de toute action potentielle qu’ils devraient entreprendre à leur niveau. Enfin, consultez des experts juridiques pour comprendre les éventuelles ramifications juridiques de la fuite. Il peut s’agir de problèmes de propriété intellectuelle ou d’obligations contractuelles.
Agir proactivement grâce à la posture de l’exposition complète
Il y a trois avantages clés à adopter cette posture pro-active. Tout d’abord, la rapidité. En assumant la notion d’exposition totale, vous pouvez agir rapidement pour atténuer les risques et minimiser les dommages potentiels. Ensuite, la clarté : Il n’y a pas d’ambiguïté. Vous ne perdez pas de temps à essayer de déterminer l’étendue de l’exposition. Enfin, le troisième bénéfice est la sécurité : La rotation des secrets exposés et la réalisation d’une évaluation approfondie de la sécurité sont des mesures prudentes qui renforcent votre position globale en matière de sécurité.
Dans notre approche destinée à gérer des fuites de données sensibles, il est temps de changer notre état d’esprit par défaut. Au lieu de nous demander “quel est le degré d’exposition”, nous devrions accepter l’hypothèse d’une exposition totale. Ce faisant, nous pouvons réagir plus efficacement et nous concentrer sur ce qui compte vraiment : sécuriser nos systèmes, protéger les données sensibles et conserver la confiance de nos parties prenantes. Dans le monde de la cybersécurité, envisager le pire dès le départ est une approche pragmatique qui profite aussi bien aux développeurs qu’aux organisations.
À lire également : Protéger ses données à l’ère de l’informatique quantique
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
