Logo_dcem_281x104
Chef d’entreprise

Vol de données en entreprise : pourquoi et comment se protéger ?

20 janvier 2023
Vol de données en entreprise : pourquoi et comment se protéger ? - featured image

Les chiffres de vols de données en entreprise ont connu une hausse de 79% en France entre 2020 et 20211 ! L’an dernier, la gendarmerie a enregistré 5037 notifications pour violation de données, un record sur douze mois. Si toutes les entreprises sont exposées aux cyberattaques, les petites structures sont les plus touchées et fragilisées, le coût du vol de données numériques pouvant être conséquent.

Quelles sont les principales cybermenaces pesant sur les entreprises ? Comment combattre le vol de données ? Quelle procédure suivre en cas de vol ? Suivez ce guide !

 

SOMMAIRE

 

 

Définition du vol de données

Le vol de données informatiques consiste en l'acquisition illégale de données personnelles et confidentielles d’une entreprise par un tiers. 

Il peut s’agir de données portantes sur : 

  • Le savoir-faire de l’entreprise (secret de fabrication, prototypes, travaux de recherche, propriété intellectuelle…) ;
  • Des informations personnelles (vol de base de données clients, prospects, collaborateurs, partenaires…) ;
  • Des informations financières (trésorerie, politique tarifaire, budget prévisionnel, conditions d’achat…) ;
  • Des décisions stratégiques (projets de recrutement ou de licenciement, orientations, plan d’expansion…) ;
  • Des informations légales (contrats…).

Ces informations peuvent mettre en danger l’entreprise si elles tombent entre de mauvaises mains (acteur malveillant, concurrent…). Outre l’impact financier du vol de données, l’impact sur l’image de marque et l’impact juridique sont autant de conséquences négatives pouvant menacer la pérennité de l’organisation.

escroqueries en ligne

 

Vol de données informatiques : ces menaces qui pèsent sur votre entreprise

La numérisation croissante du travail et des usages a conduit à l’émergence de pratiques nouvelles du vol de données en entreprise, via des cyberattaques et autres procédés de piratage informatique. Ces menaces viennent s’ajouter au plus traditionnel vol physique de données (vol de disques dur, clé USB...) et peuvent aussi bien émaner d’acteurs externes, qu’internes à l'organisation. 

1. Espionnage et piratage informatique, une série de menaces externes

Deux catégories d’acteurs externes sont à l’origine de la majeure partie des cyberattaques : 

  • Les pirates informatiques, ou hackers, qui souhaitent récupérer une somme d’argent de manière frauduleuse, notamment à travers des logiciels de rançon (ou rançongiciel). Cette menace est la plus fréquente ;
  • Les espions industriels qui ont pour objectif d’affaiblir l’entreprise ou d’obtenir des données stratégiques dans une logique concurrentielle.


L’intrusion externe peut revêtir 5 formes majeures :

  • La fraude aux faux-fournisseurs ;
  • L’usurpation d'identité ;
  • La fraude au président ;
  • Les intrusions dans les systèmes d'information ;
  • La fraude aux faux-clients.


2. Des menaces internes pèsent aussi sur les données d’une entreprise

Les cybermenaces peuvent également venir d’acteurs travaillant au sein de l’organisation (salarié, stagiaire, apprenti…). Il peut s’agir :

  • D’une personne malveillante cherchant à obtenir un gain financier (vente de données ou vente de l’accès aux données à un concurrent) ;
  • D’un agent interne travaillant pour le compte d’un acteur externe (concurrent, groupe de pirates…) ;
  • D’un employé mécontent cherchant à détruire ou endommager l’entreprise, ses processus ou son organisation ;
  • D’un employé imprudent cliquant sur un e-mail de phishing ou ne respectant pas la politique de prévention contre les risques mise en place par l’entreprise ;
  • D’entités tierces (fournisseurs de services cloud ou de logiciels) ayant accès aux données et parfois au réseau de l’entreprise et qui peuvent involontairement vous exposer à des pirates malveillants ou à des acteurs mal intentionnés, en raison d’un niveau de sécurité défaillant.

securite numerique

 

Sanctions et protection légale des données de votre entreprise contre le vol

Découvrez ce que dit la loi en cas de vol de données en entreprise, ainsi qu’en termes de précautions à prendre pour vous en protéger. 


1. Vol de données : les sanctions

Pour un salarié, voler les données de l’entreprise dans laquelle il travaille relève du droit pénal. Trois cas de figures sont possibles :

  • Le collaborateur détourne (et revend) des données clients auquel il avait accès dans le cadre de son contrat. Il peut alors être condamné pour abus de confiance et puni de trois ans d’emprisonnement et 375 000 euros d’amende.
  • S’il se rend coupable d’escroquerie ou de complicité d’escroquerie en communiquant des informations à un tiers en vue de déjouer la sécurité de l’entreprise pour voler des données ou en tirer un avantage, il s’expose à cinq ans d’emprisonnement et 375 000 euros d’amende.
  • S’il obtient les données confidentielles via le système informatique de l’entreprise, il peut être condamné pour atteinte à un système de traitement automatisé de données et puni de cinq ans d’emprisonnement et 75 000 euros d’amende.

Mais alors, comment porter plainte en cas de vol ? Il vous suffit de vous rendre dans un bureau de police ou de gendarmerie comme pour dénoncer une infraction classique. 

 


2. Protection des données des entreprise : qu’exige la loi ?

Les entreprises ont aussi le devoir de protéger leurs données. Selon l’article 121 de la loi Informatique et Libertés “Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données numériques et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.”

De son côté, le règlement sur la protection des données personnelles (RGPD), en vigueur depuis 2018, impose une série de règles aux entreprises, parmi lesquelles :

  • Mettre en place les mesures adéquates pour assurer un niveau de sécurité optimal des données personnelles : attribution de pseudonymes (pseudonymisation), analyses d’impact, tests d’intrusion…
  • Nommer un Data Protection Officer ou DPO (pour les entreprises les plus importantes).

Des sanctions financières à destination des entreprises sont prévues en cas de non-respect de ces règles.

 

 

Que faire en cas de piratage informatique et comment limiter les risques ?

Découvrez que faire en cas de vol de données et comment améliorer la prévention et la gestion des risques pour qu’une telle situation ne se reproduise pas à l’avenir. 

 

1. Le protocole à suivre en cas de vol de données

Vous venez de constater un piratage de vos systèmes informatiques ? Ne tardez pas à réagir ! Voici comment procéder :

  • Déconnectez les ordinateurs affectés pour éviter une propagation de l’infection aux autres postes.
  • Collectez tout ce qui peut être utile pour une enquête (heure de l’attaque, emails, fichiers ou logiciels affectés…). Laissez les ordinateurs ou téléphones touchés éteints et ne tentez pas de les rallumer.
  • Alertez le responsable de la sécurité informatique de votre entreprise qui pourra procéder à une première analyse.
  • Contactez votre assurance cyber risques sous 48 h afin d’éviter une déchéance de vos garanties pour déclaration tardive. Si vous n'êtes pas couvert pour ce type de risques, faites appel à une société de réparation informatique pour vous conseiller et nettoyer les appareils infectés. 
  • Tentez de restaurer les données grâce aux sauvegardes (si vous en faites régulièrement).
  • Ne payez pas de rançon en cas d’infection par un rançongiciel. Outre la perte financière, vous n'êtes pas certain à ce stade que le hacker soit en mesure de déchiffrer votre système informatique.
  • Ne tentez pas de dissimuler la cyber-attaque, ce qui pourrait avoir un impact dévastateur sur votre e-réputation. Communiquez au contraire sur la situation, en rassurant vos partenaires. Certaines assurances mettent à disposition des experts en communication, à vos frais.
  • En cas de vol de données personnelles pouvant porter atteinte à la sécurité des données de vos clients, notifiez la faille de sécurité à la CNIL sous 72 heures, ainsi qu’aux personnes affectées. 

securite numerique

 

2. Conseils pour améliorer votre cybersécurité

Comment limiter au maximum ce risque d’attaques ? Quels formats de fichiers protègent du vol de données ? Plusieurs actions peuvent être mises en place pour accroître la sécurité de votre organisation et limiter le risque de fraude et de vol de données :

  • Implémentez une politique de mots de passe uniques et complexes : chaque utilisateur doit avoir un mot de passe différent comportant des chiffres, des lettres, des minuscules, des majuscules et des caractères spéciaux et doit le renouveler régulièrement.
  • Restreignez l’accès aux données sur chacun des outils informatiques (postes de travail, logiciels…) en créant des profils utilisateurs adaptés aux besoins de chaque salarié ou intervenant externe (ces droits individuels ou groupés sont à renouveler régulièrement).
  • Effectuez des sauvegardes régulières de vos données, notamment sur des supports sécurisés extérieurs à l’entreprise.
  • Utilisez un VPN professionnel pour mieux protéger vos données lorsque vos collaborateurs travaillent hors des murs de l’entreprise.
  • Chiffrez les données de l’entreprise par le biais de la cryptographie (cryptage des disques durs, des clés USB, des emails, des pièces jointes, des données de paiement…) pour les rendre illisibles sans clé.
  • Sécurisez les postes de travail via un accès restreint et contrôlé aux locaux, l’investissement dans des antivirus performants ou encore un contrôle régulier des pares-feux.
  • Mobilisez un professionnel ou une équipe de veille technique et de veille sécuritaire chargée de prévenir ces risques.
  • Mettez en place des programmes de formation et de sensibilisation en interne aux risques de phishing, à la sécurisation des postes de travail…

 

Vous l'aurez compris, le vol de données est une cybermenace grandissante pour les entreprises. Que la menace soit interne ou externe à votre organisme, la loi prévoit des sanctions pour les coupables (emprisonnement, amande…). Attention, si votre entreprise ne protège pas correctement ses données, vous êtes également susceptible d'avoir une sanction financière.
En cas de vol de données, ne tardez pas à réagir et suivez nos conseils pour limiter le risque de piratage informatique.

 

Pour renforcer la sécurité de votre entreprise, ces articles peuvent vous être utiles : 



1 Rapport annuel de la CNIL

 
Mélanie d'AGIRIS entreprises
Chargée de marketing digital chez AGIRIS entreprises depuis 2021, ma mission est de créer du contenu attrayant et pertinent pour simplifier le quotidien des chefs d'entreprises et de leurs équipes.
Retrouvez-nous sur :
picto Facebook picto LinkedIn
Écrivez votre commentaire :

Restez en veille sur l'actualité de votre métier !