La perte de données fait peur… mais pas au point de s'en protéger

“ Tant que ça ne se passe pas sous mon règne, ça ne me concerne pas. Je ne suis payé qu'aux résultats présents… Le futur sera géré par mon successeur ! ” C'est ce que déclarait un internaute sur 01netpro à propos de la fuite d'informations. Rien d'étonnant à en croire les résultats de l'étude “ Bordless Security ” d'Ernst & Young. Menée auprès de 1 700 sociétés dans 56 pays, elle révèle que 37 % d'entre elles ne se protègent pas contre ce qu'elles considèrent pourtant comme leur principale menace : la perte de données (propriété intellectuelle, documents confidentiels, fichiers clients). “ Cela ne m'étonne pas outre mesure, confirme un ingénieur sécurité d'Orange. La fuite d'informations est considérée par certains comme une fatalité. D'une part, parce que les causes de ces fuites sont multiples (négligences, malveillances ou simple opportunité). D'autre part, parce qu'il n'est pas évident de s'en apercevoir. ”En effet, comment savoir si un employé est parti avec un fichier clients ? Comment évaluer le coût réel de cette perte ? Combien de clients ont été perdus ? et l'ont-ils été à cause de cette fuite d'informations ou à cause d'autres facteurs ? Difficile à calculer. “ Ce qui pose immédiatement la question des moyens alloués contre ce risque : si on ne peut pas en chiffrer l'impact, comment décider des budgets à attribuer aux contre-mesures ? ” interroge l'ingénieur.Ce qui coûte de l'argent, et qui est plus facile à mesurer, ce sont les démarches d'audit et de réparations post-incidents. En février 2009, Ponemon Institute révélait que la facture s'élevait, en France, à près de 90 euros par fichier égaré. Investir alors que les mesures de prévention reviennent plus chères que les frais de réparation n'est donc pas forcément pertinent. “ Au niveau des moyens techniques, on peut chiffrer les informations et les ordinateurs portables, réaliser des audits, miser sur la sensibilisation, etc. Mais, au final, on travaille en tâtonnant ”, ajoute l'ingénieur sécurité.Reste qu'en cas de perte de données clients, l'image de l'entreprise s'en trouve dégradée. Mais si deux sociétés interrogées sur trois considèrent cette mésaventure comme la fuite d'informations la plus grave, le fait que ce genre d'événement est rapidement oublié ne les pousse pas à s'en soucier plus qu'il ne faut.Sur l'année 2009, plusieurs incidents dans des grandes entreprises ont conduit à des fuites massives d'informations. Orange, notamment, a perdu près d'un demi-million de données utilisateurs à la suite d'une faille de sécurité sur son portail La Photo mystère. “ L'impact immédiat fut une atteinte à l'image de marque. Mais un an plus tard, qui s'en souvient ? ” confie l'ingénieur sécurité.

La priorité : définir le niveau de risque acceptable

Pour ce dernier, la bonne approche est de travailler en termes de gestion du risque (en s'appuyant sur une démarche de type ISO 27005) : contre quelle sorte de perte de données veut-on se prémunir ? Sachant que le risque zéro n'existe pas, il faut définir le niveau de danger acceptable. A partir de là seulement, il est possible de décider des éventuelles mesures à mettre en place. “ A l'aide de tableaux de bord, on pourra ensuite mesurer leur efficacité ”, conclut l'ingénieur d'Orange.