Fuites de données d’entreprise : protégez vos données, améliorez votre sécurité et évitez les cyberattaques

Fuites de données d’entreprise : protégez vos données, améliorez votre sécurité et évitez les cyberattaques

Alors que le coût moyen d’une fuite de données est de 4,24 millions de dollars(1), la CNIL a recensé 5 000 notifications de fuites de données en 2021. Un chiffre en constante augmentation depuis ces dernières années et une tendance qui impacte désormais les entreprises de toutes tailles dans leur politique de sécurité informatique et numérique.

Quelles sont les principales conséquences d’une fuite de données ? Quels dispositifs mettre en place pour améliorer la cybersécurité de son entreprise ?

Fuite de données : définition

Une fuite de données est la divulgation intentionnelle ou non d’informations qui étaient censées rester privées. Elles peuvent se produire lorsque des entreprises ou des particuliers ne sécurisent pas correctement leurs données, lorsque les systèmes qui stockent des données confidentielles sont piratés ou encore lorsque des membres de l’entreprise partagent délibérément des informations confidentielles.

Quelles sont les causes des fuites de données ?

Même si les attaques cyber sont la première cause d’une fuite de données, 3 violations de données sur 20 proviennent d’un acte accidentel d’origine interne, et 1 d’un acte interne malveillant(1)

On distingue en effet deux types de fuites de données : les fuites de données accidentelles, sans lien avec une cyberattaque (data leak) et les fuites de données intentionnelles dues à une attaque délibérée (data breach).

Data leak

      • Mauvaise configuration du serveur
      • Protocoles de sécurité insuffisants
      • Erreur humaine (envoi d’un courriel à la mauvaise personne ou non cryptage de l’information envoyée)

Data breach

      • Cyberattaque par un logiciel malveillant conçu pour voler des informations
      • Employé malveillant qui vend des secrets d’entreprise à un concurrent

Pourquoi est-ce important de protéger ses données ?

Les données d’entreprises sont les données que les organisations collectent et stockent sur leurs clients, leurs employés, leurs opérations, leurs produits, etc. Certaines d’entre elles sont des données personnelles que la CNIL définit comme “toute information se rapportant à une personne physique identifiée ou identifiable”. Véritable atout pour les entreprises, les données peuvent permettre aux organisations d’améliorer leur efficacité et leur prise de décision, stimuler leur croissance et acquérir un avantage concurrentiel. Pour ces raisons, les entreprises représentent une cible attractive pour les hackers et la concurrence, et peuvent être victimes de fuites de données accidentelles comme intentionnelles. Et cette tendance ne tend pas à s’améliorer.

Les conséquences de ces fuites peuvent être graves : atteinte à la réputation de l’entreprise, perte de confiance de ses clients et employés, pertes financières, pertes de propriété intellectuelle, sanctions réglementaires… Elles peuvent également entraîner la violation de la vie privée d’un individu ou compromettre la sécurité des données des fournisseurs et partenaires commerciaux. Les répercussions de ces fuites de données peuvent ainsi altérer toute la chaîne de valeur de l’entreprise.

Quelles mesures mettre en place pour prévenir les fuites de données ?

Pour prévenir les fuites de données, il est vivement conseillé aux entreprises de mettre en place une politique de protection des données (en plus des obligations par le RGPD). Voici une liste non exhaustive des mesures à adopter :

      • Classer les données en fonction de leur degré de confidentialité et ainsi distinguer les données sensibles des autres données. En entreprise, les données sensibles sont les données personnelles des employés et clients, les données relatives au savoir-faire, à l’état financier de l’entreprise, aux décisions stratégiques, etc.
    •  
      • Crypter les informations sensibles en utilisant des mots de passe sécurisés et des accès restreints.
      • Former les salariés à la gestion des informations confidentielles et les sensibiliser sur les risques et menaces d’une fuite de données.
      • Effectuer une veille juridique afin de suivre l’évolution du cadre légal et réglementaire attendu dans les entreprises en matière de gestion des données.
      • Surveiller son système d’information et détecter les données exposées sur des bases non sécurisées.
      • Recourir à des solutions techniques pour assurer la sécurité des données en détectant par exemple les anomalies ou en alertant les équipes de sécurité lors de tentatives de cyberattaques.

Dans les cas où la fuite de données aurait déjà eu lieu, il est conseillé aux entreprises de :

      • Garder des preuves de l’attaque afin de permettre aux autorités compétentes d’effectuer d’éventuelles investigations.
      • Réagir vite afin de ralentir ou stopper la perte de données en anticipant une cellule de crise permettant à l’entreprise de poursuivre son activité.
      • Faire appel à des experts afin de récupérer les données perdues sur les deep et dark webs.

Pour protéger ses données et éviter les cyberattaques, il convient donc d’être préparé aux éventuels dangers. En mettant en place les mesures de protection nécessaires, les entreprises amoindrissent le risque de fuite de données et de cyberattaques. Elles se protègent ainsi des risques réputationnels et financiers lourds de conséquences.

Comment surveiller son système d’information ?

Le nombre de violations de données ne cessant d’augmenter, il est de plus en plus important pour les entreprises de surveiller leurs systèmes d’information afin de détecter les données exposées. Mais par où commencer ?

Major Intelligence propose son service de cyber monitoring pour analyser en détail les risques cyber d’une organisation, détecter les fuites de données et y remédier. Grâce à 5 solutions de cyber monitoring, les consultants et analystes Major Intelligence identifient les données exposées et aident les organisations à mieux protéger leur entreprise des risques cyber et réputationnels.

Recrutements : comment évaluer l’honorabilité d’un candidat ? Dispositifs juridiques et bonnes pratiques.​

Recrutements : comment évaluer l'honorabilité d'un candidat ?

À propos de la conférence

Rechercher des informations sur Facebook à propos d’un candidat, taper son nom sur Google… Ces pratiques de recruteurs ne sont pas forcément légales. Pourtant, il est courant de procéder à une enquête de moralité ou d’honorabilité avant de recruter un candidat pour un poste stratégique ou sensible.

Dès lors, comment peut-on évaluer l’honorabilité d’un candidat et ainsi éviter les mauvaises surprises post-recrutement ? Quelles informations peut-on collecter sur un candidat tout en respectant la vie personnelle du candidat ? Sur quelles sources se concentrer ? Quelles sont les limites légales à ne pas franchir ?

A l’occasion d’une conférence, Major Intelligence et le cabinet d’avocats Jeantet vous présentent les bonnes pratiques à respecter en matière de recrutement lorsqu’on souhaite mettre en place une enquête de moralité.

Au programme de ce nouveau webinaire :

    • Quelle est la différence entre une enquête de moralité ou d’honorabilité ?
    • Cadre juridique et risques associés à ce type d’enquête
    • Bonnes pratiques de recherche d’information
    • Cas pratiques

Remplissez ce formulaire et visionnez gratuitement le replay de la conférence.

Je souhaite accéder au replay

« * » indique les champs nécessaires

Communications Major
RGPD*

Intervenants

Océane Demoulin – Avocate en droit social Cabinet Jeantet

Avocate depuis 2012, Océane Demoulin a développé une expertise en droit social tant en conseil qu’en contentieux. Elle conseille et assiste ses clients français et internationaux sur des problématiques de relations individuelles et collectives de travail ainsi qu’en contentieux individuels et collectifs.

Elle intervient en matière de gestion sociale de restructurations d’entreprises in bonis mais également en gestion sociale des restructurations d’entreprises en difficultés. Elle accompagne également ses clients dans leur stratégie de croissance, dans leur mise en conformité ainsi que dans toutes leurs problématiques récurrentes ou ponctuelles en droit du travail.

Laurent Sarralangue – Directeur du Renseignement Major Intelligence

Le fil conducteur de ses 27 années de carrière en Gendarmerie est le renseignement, sa recherche, sa collecte en milieu ouvert, son exploitation, et ces 10 dernières années, détaché dans la Police au Renseignement Territorial, son analyse et son intégration dans le processus de prise de décisions stratégique et opérationnelle. 

Analyste renseignement particulièrement expérimenté et qualifié, l’intelligence économique est centrale dans son champ de compétences. Dans un environnement pluridisciplinaire, technique, responsable de thématiques, il met ses compétences, sa polyvalence, ses qualités pédagogiques et sa capacité d’adaptation au service des clients de Major Intelligence.

Due diligence de réputation et d’honorabilité, est-ce vraiment utile ?

Due diligence de réputation et d’honorabilité, est-ce vraiment utile ?

Pour les entreprises, la concurrence s’intensifie et les facteurs de risques se diversifient. La compliance est donc devenue essentielle pour assurer sa croissance, sécuriser son activité et protéger sa réputation. Dans le cadre d’une stratégie de croissance ou d’acquisition, une due diligence permet de vérifier la réputation et l’honorabilité d’une cible ou d’un futur partenaire. Éclairage sur ce concept anglo-saxon largement répandu dans le monde des affaires.

Définissons le concept de due diligence

Une due diligence est une procédure de sécurisation des tierces parties. Elle désigne un ensemble de vérifications qu’opère une organisation publique ou privée (investisseur, entreprise, collectivité) en vue d’une opération financière (acquisition, transaction, partenariat, recrutement d’un dirigeant, etc.).

Ce travail d’études permet d’examiner la situation d’une entreprise ou d’un individu et de se prononcer sur une opération d’acquisition ou sur une entrée en relation d’affaires. Cela recouvre notamment la vérification de la stratégie d’une entreprise, de sa situation fiscale, comptable, sociale, environnementale, de sa sécurité numérique

Due diligence de réputation et d’honorabilité : à quoi ça sert ?

En matière d’intelligence économique et de renseignement d’affaires, la due diligence sert à qualifier la réputation et l’honorabilité d’une cible. Ce travail d’études peut concerner une personne physique ou d’une personne moraleIssues de sources ouvertes et de l’exploitation de sources humaines locales, les informations collectées, jugées fiables et pertinentes, permettent de :

      • Identifier la structure capitalistique ainsi que les bénéficiaires ultimes, 
      • Identifier les réseaux relationnels des personnes concernées, 
      • Analyser la solidité financière de la cible,
      • Mettre en lumière les éventuels litiges et/ou passifs occultes, 
      • Identifier les risques éventuels de corruption ou de réputation, 
      • Confirmer la capacité opérationnelle de la société.

Étape clef du processus, la due diligence intervient idéalement en amont de l’entrée en relation d’affaires. Elle peut également être requise pendant les négociations au cours d’un deal, ou venir en appui d’audits et d’études spécifiques (processus de mise en conformité anticorruption, appel d’offres, etc.).

Se protéger des risques réputationnels grâce à une due diligence

La réputation d’une entreprise est liée à de nombreux facteurs endogènes et exogènes tels que :
      • l’éthique, l’intégrité, la fraude ou la corruption,
      • les risques sanitaires et les risques liés à la sécurité,
      • la qualité des produits et des services proposés,
      • la réputation personnelle des cadres dirigeants et des employés,
      • la réputation des clients et des fournisseurs,
      • les attaques de la concurrence,
      • les catastrophes naturelles
      • les crises sanitaires…

Pour faire face à ces risques, il est nécessaire de bien connaître son secteur d’activité, ses concurrents, mais également les dirigeants de l’entreprise et ses plus proches collaborateurs. Réaliser une due diligence en amont de la concrétisation d’une relation est donc primordial pour garantir sa réputation et identifier les difficultés auxquelles l’entreprise pourrait faire face.

Cyber due diligence, risques cyber et e-reputationnels

Les cyberattaques se multiplient. Il n’est plus possible d’envisager le concept de réputation sans mentionner les risques liés à l’e-réputation. Élargir les recherches au périmètre du cyberespace permet d’évaluer l’exposition numérique de la cible et d’identifier les nouvelles menaces auxquelles sont exposés ses espaces numériques et ses systèmes d’information. 

L’entreprise est-elle exposée suite à une violation ou une perte de données critiques, sensibles, stratégiques ou personnelles ? Ces expositions ont-elles un impact sur la réputation de la cible ? Peuvent-elles avoir un impact sur la valorisation de l’entreprise ? Autant de questions auxquelles les consultants de Major Intelligence répondent grâce à la mise en place d’une cyber due diligence ou d’un cyber monitoring.

Pour aller plus loin

Détecter des risques en matière d’exposition cyber dans le cadre d’un audit d’acquisition

Détecter des risques en matière d’exposition cyber dans le cadre d’un audit d’acquisition
Contexte

Evaluer l’exposition d’une société cible au regard des risques de cybersécurité avant la réalisation d’une lettre d’intention pour une prise de participation au sein d’une entreprise.

Méthode Major Intelligence
    • Détecter et rechercher de l’information sur les deep et dark webs pour analyser l’exposition aux risques Cyber de cette cible et vérifier si elle n’a pas déjà fait l’objet d’attaques informatiques, vérifier sa surface d’exposition
    • Appréhender les menaces à laquelle l’entreprise pourrait être confrontée : fuites de données ; mise en danger des actifs de l’entreprise, du personnel, de la propriété intellectuelle, doxing, leak passif 
    • Réaliser un audit « Cyber prévention » pour l’aider à se prémunir des risques identifiés
Bénéfices
    • Être alerté des menaces passées
    • Être alerté des risques futurs
    • Être en possession de tous les éléments pour prendre des décisions plus éclairées sur la prise de participation
Bouclier numérique

Evaluez l'exposition d'une société cible aux risques cyber pour mieux protéger votre entreprise

Détecter les signaux faibles et observer les tendances en faisant de la veille

Détecter les signaux faibles et observer les tendances en faisant de la veille
Contexte

Investir un nouveau domaine d’innovation à travers des participations dans des sociétés novatrices sans posséder l’expertise métier pour qualifier le coût d’opportunité et s’assurer de la viabilité du marché et de la présence ou non de concurrents directs.

Méthode Major Intelligence
    • Mettre en place un processus de surveillance à l’aide d’outils paramétrables et automatisés afin d’être informé des publications les plus récentes sur un sujet précis (une société, un secteur, une législation, etc.).
    • Analyser et faire émerger de ces publications des tendances de marché ou encore identifier les parties prenantes d’un secteur d’activité (concurrents, partenaires, fournisseurs, prospects, clients). 
Bénéfices
    • Anticiper les évolutions susceptibles d’impacter ces activités
    • Avoir une connaissance plus approfondie de son secteur pour prendre des décisions éclairées sur ses futurs investissements
    • Identifier plus facilement l’émergence d’un marché tout en cartographiant ses acteurs clés
Étude de marché

Maîtrisez votre marché et adoptez la bonne stratégie de croissance et d'investissement.

Interviewer le dirigeant d’une société afin de confronter ses déclarations aux investigations réalisées

Interviewer le dirigeant d’une société afin de confronter ses déclarations aux investigations réalisées
Contexte

Vérifier si le dirigeant d’une société dissimule des informations dans le cadre d’une transaction, ou confirmer sa loyauté et son honorabilité au regard d’informations récoltées lors d’un dossier de Due Diligence.

Méthode Major Intelligence
    • Mener des entretiens auprès des dirigeants ciblés par les recherches afin de confirmer ou infirmer les informations récoltées
    • Confronter les éléments d’investigations aux déclarations de l’intéressé(e)
    • Explorer les signaux faibles identifiés
    • Recueillir des preuves manquantes et/ou justificatifs de la part de la cible
    • Protection du droit au respect de la vie privée
Bénéfices
    • Aller au bout d’un processus de vérification grâce à des techniques de renseignement humain (HUMINT), en s’appuyant notamment sur notre expérience des entretiens
    • Obtenir  des informations complémentaires en bénéficiant d’informations biographiques pour parfaire l’appréciation du dossier
Due diligence

Détectez les éléments potentiellement dommageables d'une organisation grâce à une due diligence de réputation et d'honorabilité

Évaluer l’honorabilité d’une société et de son dirigeant principal malgré des audits « classiques » positifs

Évaluer l’honorabilité d’une société et de son dirigeant principal malgré des audits « classiques » positifs
Contexte

Obtenir des informations sur la nature des relations entre le dirigeant d’une société cible et un partenaire bancaire ayant refusé de participer au financement de l’opération de LBO pour des faits liés au comportement non éthique d’un ancien collaborateur.

Méthode Major Intelligence

Réaliser un dossier de Due Diligence sur une personne morale :

    • Présenter les informations légales de la cible
    • Identifier ses dirigeants et bénéficiaires ultimes
    • Cartographier les réseaux et liens d’affaires
    • Évaluer la réputation et l’honorabilité de la société
    • Identifier les litiges et procédures pertinentes
Bénéfices
    • Confirmer ou infirmer la santé financière et la réputation de la société
    • Identifier et comprendre les procédures judiciaires
    • Prendre en compte les recommandations et préconisations de nos experts
Due diligence

Détectez les éléments potentiellement dommageables d'une organisation grâce à une due diligence de réputation et d'honorabilité

Digital Operational Resilience Act (DORA) : la Commission européenne souhaite renforcer la sécurité numérique du secteur financier

Drapeau européen qui flotte dans le vent

Dans un contexte de multiplication des cyberattaques, l’Europe souhaite renforcer la sécurité numérique du secteur financier. La Présidence du Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord provisoire concernant un règlement visant à améliorer la résilience informatique des acteurs financiers. Cette loi, appelée DORA (Digital Operational Resilience Act), entrera en vigueur fin 2022. Que retenir de ce projet de règlement ?

Digital Operational Resilience Act : qu’est-ce que c’est ?

La présidence du Conseil de l’Union européenne (UE) et le Parlement européen s’attaquent désormais à la sécurité numérique des acteurs financiers. L’objectif : améliorer leur résilience opérationnelle informatique en cas de perturbation opérationnelle grave.

Appelé règlement sur la résilience opérationnelle numérique du secteur financier ou Digital Operational Resilience Act, le projet prévoit de renforcer la cybersécurité de l’ensemble du secteur financier. Celui-ci fixe des exigences uniformes pour assurer la sécurité des systèmes d’information des acteurs concernés et de leurs prestataires fournissant des services liées aux technologies de l’information et de la communication (TIC).

Ainsi, les institutions financières devront prendre des mesures spécifiques pour assurer leur résilience opérationnelle numérique, y compris la capacité de se remettre rapidement d’un incident et de protéger les données des clients. En outre, les institutions seront tenues de fournir aux autorités de régulation des rapports annuels sur leurs plans de sécurité numérique et leurs progrès.

Les objectifs du règlement DORA

Après son entrée en vigueur prévue fin 2022, les établissements financiers devront notamment respecter 5 obligations en matière de gestion des risques liés à leurs dispositifs informatiques :

Il s’agit ici pour les établissement financiers de mettre en place un organe responsable des risques informatiques, chargé de :

    • définir les rôles et les responsabilités de toutes les équipes informatiques,
    • mettre en place des examens réguliers et des processus de contrôle,
    • allouer un budget à la résilience opérationnelle numérique.

L’organe de gestion définit entre autres le cadre de gestion des risques par la mise en place d’une cartographie, de mécanismes de détection, des politiques de sauvegarde, des formations pour le personnel concerné, etc. 

Le règlement DORA prévoit la mise en place d’un dispositif de signalement des incidents informatiques standardisé pour tous les acteurs financiers comprenant : 

    • La formalisation d’un processus de gestion des incidents ;
    • La classification des incidents ;
    • La notification des incidents majeurs ;
    • L’harmonisation, la centralisation et les retours d’information des notifications d’incidents ;
    • La présentation de rapports d’incidents anonymisés par les AES (Autorités Européennes de Surveillance).

Afin d’anticiper l’impact d’une éventuelle cyberattaque, les établissements financiers auront l’obligation de mettre en place des tests de résilience opérationnelle numérique régulièrement. Ces tests devront avoir lieu au moins une fois par an pour les applications et systèmes critiques liés au TIC. 

Le règlement DORA prévoit la mise en œuvre d’une stratégie et d’une politique de gestion des risques liés aux prestataires de services TIC afin d’en réduire leur portée. Cette surveillance des tiers prestataires intègre également un volet contrôle avec une évaluation régulière des prestataires au regard des exigences de résilience opérationnelle numérique. 

Afin de faire face collectivement aux cybermenaces, il est prévu de définir une stratégie de communication spécifique entre acteurs financiers. L’objectif ici est de promouvoir l’échange d’informations entre les établissements financiers, tout en incluant des clauses de confidentialité et l’obligation d’information envers l’autorité de régulation. 

Qui est concerné par le règlement DORA ?

Le règlement DORA s’appliquera à l’ensemble des acteurs du secteur financier (dont les compagnies d’assurance, les entreprises d’investissement et les sociétés de gestion), et plus particulièrement aux Organismes d’Importances Vitales (OIV) dans le secteur de la finance.

Bien que le règlement soit encore à l’état de projet, il est fortement conseillé aux institutions financières de commencer à lancer leur mise en conformité dès maintenant.

    • les établissements de crédit,
    • les établissements de paiement,
    • les établissements de monnaie électronique,
    • les entreprises d’investissement,
    • les prestataires de services sur crypto-actifs, les émetteurs de crypto-actifs, les émetteurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative,
      les dépositaires centraux de titres,
    • les contreparties centrales,
    • les plateformes de négociation,
    • les référentiels centraux,
    • les gestionnaires de fonds d’investissement alternatifs,
    • les sociétés de gestion,
    • les prestataires de services de communication de données,
    • les entreprises d’assurance et de réassurance,
    • les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire,
    • les institutions de retraite professionnelle,
    • les agences de notation de crédit,
    • les contrôleurs légaux des comptes et les cabinets d’audit,
    • les administrateurs d’indices de référence d’importance critique,
    • les prestataires de services de financement participatif,
    • les référentiels des titrisations,
    • les tiers prestataires de services informatiques.

Un projet de loi pour renforcer la cybersécurité et protéger la finance numérique

Cette évolution réglementaire intervient dans un contexte de tensions internationales et de multiplication des cyberattaques. Les acteurs financiers sont en outre particulièrement exposés aux cybermenaces du fait de la place essentielle des services informatiques dans le fonctionnement du système bancaire, de l’externalisation croissante des prestations liées aux TIC et de la mise en commun de leurs ressources techniques et opérationnelles. 

Afin de renforcer leur cybersécurité, les établissements financiers ont la possibilité de mettre en place des veilles proactives permettant de détecter les fuites de données et d’anticiper les conséquences de ces expositions. Experts de l’HUMINT (Human Intelligence) et de l’OSINT (Open Source Intelligence), les consultants Major accompagnent les établissements financiers afin d’évaluer leur surface de risque cyber et de détecter les fuites malveillantes ou involontaires. Sur le long terme, cela permet à l’organisation financière de surveiller son exposition, mais aussi celles de ses personnages clés, ses partenaires, sa marque et ses clients.

Pour aller plus loin

Multiplication des cyberattaques : 5 mesures pour se protéger​

Replay du webinaire sur la cybersécurité

À propos du webinaire

La guerre entre la Russie et l’Ukraine et les fortes tensions internationales qui l’entourent se prolongent dans le cyberespace : les cyberattaques se multiplient. Les entreprises et les administrations françaises doivent impérativement s’en protéger.

Pour agir vite et bien et se concentrer sur les priorités, Major Intelligence a mis en lumières 5 mesures préventives indispensables pour rehausser vos défenses et améliorer votre cybersécurité.
 
Remplissez ce formulaire pour visionner le replay du webinaire.
Développeur hacker sur son ordinateur en train de coder

Je souhaite accéder au replay

« * » indique les champs nécessaires

Communications Major
RGPD*

Intervenant

Laurent Sarralangue
Directeur du Renseignement Major Intelligence

Spécialiste des techniques du renseignement, l’intelligence économique et la cybersécurité sont centrales dans son champ de compétences. En tant que directeur du Renseignement et formateur au sein de Major Intelligence, Laurent accompagne des clients B2B (entreprises, fonds d’investissement, collectivités, etc.) dans la création et le déploiement de leur politique de sécurité économique et numérique. 

Sécurité économique et cybersécurité : un enjeu pour toutes les entreprises

Livre blanc

À propos du livre blanc

Dans ce livre blanc, découvrez un recueil d’interviews distribué lors de la conférence Sécurité économique et cybersécurité : un enjeu pour TOUTES les entreprises.

Ce livre blanc vous offre cinq points de vue complémentaires autour de l’intelligence économique.

Livre blanc

Je souhaite recevoir le livre blanc

« * » indique les champs nécessaires

Communications Major
RGPD*