Le cryptage des données pour protéger son entreprise des cyberattaques

Avec 3 fraudes en moyenne signalées par an et par entreprise au niveau mondial selon PwC, la cybercriminalité est une réalité de plus en plus prégnante pour les entreprises de toutes envergures. En raison notamment de la digitalisation croissante de ces dernières et de l’importance de l’outil informatique dans la quasi-totalité des chaînes de valeur, la cybercriminalité concerne actuellement plus de deux entreprises françaises sur trois selon Euler Hermes. Si les cyberattaques prennent principalement la forme de cyber arnaque à des fins d’extorsion, certaines d’entre elles s’intéressent plus particulièrement à la captation de données sensibles ayant une véritable valeur économique. Tant pour des raisons de conformité au RGPD que pour leur sécurité et celle de leurs clients, les entreprises doivent mettre en place des mesures permettant la protection de cet actif immatériel. Dès lors, le cryptage des données peut s’avérer particulièrement efficace pour protéger l’entreprise face aux cyberattaques. 

Les enjeux de la cybersécurité et la protection des données sensibles

Les données sensibles peuvent être classées en deux grandes catégories :

• celles concernant les personnes physiques collectées et traitées par l’entreprise dans l’exercice de leurs activités ;
• celles concernant l’entreprise elle-même ayant une forte valeur économique.

Les données sensibles au sens du RGPD

La définition des données sensibles connaît un écho particulier depuis l’entrée en vigueur du RGPD. Rattachées à la notion de données personnelles et à la volonté de protéger les personnes physiques, ces données sensibles concernent notamment l’orientation sexuelle des individus, leurs opinions religieuses et politiques…
À cet égard, le RGPD impose la plus grande vigilance aux entreprises traitant ce type de données en incitant fortement à mettre en place des dispositifs de cybersécurité tels que le chiffrement et l’anonymisation des données. À défaut, l’entreprise pourra être sanctionnée pour sa négligence en cas de fuite et être condamnée au paiement d’une amende substantielle proportionnelle à son chiffre d’affaires. 

Les données sensibles de l’entreprise

Ceci étant, toutes les entreprises ne traitent pas des données dites sensibles au sens du RGPD. Par contre, d’autres données peuvent revêtir ce caractère dans le sens où elles sont d’une valeur particulièrement importante ou peuvent être détournées à des fins malveillantes. Il peut s’agir notamment :

• des données économiques et financières confidentielles ;
• les données commerciales (fichiers clients, référentiels fournisseurs, études marketing…) ;
• informations relatives au savoir-faire de l’entreprise (brevet en cours de production, dessin et modèles, prototypes…) ;
• informations stratégiques (projet de croissance externe et interne, développement de nouveaux produits…).

Toutes ces informations (dont certaines sont couvertes par des obligations légales de confidentialité) peuvent être sujettes aux différentes cybermenaces. Ces données ont une véritable valeur marchande rendant parfois plus opportun de les subtiliser discrètement plutôt que d’utiliser un ransomware consistant à paralyser l’entreprise jusqu’au paiement d’une rançon. En effet, le “vol” de fichiers informatiques est difficilement détectable dans la mesure où son propriétaire n’en a pas obligatoirement été dépossédé (un simple copié/collé suffit).  

Afin de rendre ces données exclusivement accessibles aux personnes habilitées, il est donc impératif de chiffrer le contenu pour sécuriser les données sensibles.

Le cryptage des données sensibles : principe et fonctionnement

Bien que le cryptage de données ne permet pas de protéger l’entreprise de certaines cyberattques, il présente l’avantage de rendre inaccessible le contenu des fichiers sensibles aux tiers. Ainsi, même en cas d’intrusion dans le réseau interne de l’entreprise ou via la technique du “man in the middle”, les fichiers ne pourront être exploités tant que l’intrus n’est pas en possession de la clé de chiffrement.

Un accès codé et limité

En effet, le cryptage de fichiers fonctionne comme un code secret : tant que vous ne disposez pas du code, le fichier est inaccessible. Néanmoins, un code secret n’a pas forcément un niveau élevé de sécurité car son nombre de caractères est souvent limité pour des raisons de praticité. À défaut de mesure de sécurité complémentaire (authentification forte, gel du compte..), il est donc possible de faire tourner un algorithme récursif pour identifier la bonne combinaison au moyen notamment d’une attaque au dictionnaire (parfois très rapidement quand on sait que la plupart des utilisateurs utilisent des mots de passe à partir de mots et non de caractères aléatoires).

Une clé de chiffrement comme solution de sécurisation

Le cryptage de données permet de contourner ce problème grâce à une clé de chiffrement. Seuls les utilisateurs disposant de la clé de chiffrement peuvent crypter une information et la décrypter. Cette clé génère un nombre de combinaison tellement important qu’il faudrait dans certains cas plusieurs siècles à un ordinateur surpuissant pour répliquer la clé via un mécanisme itératif (c’est le cas d’un cryptage avec l’algorithme AES en 256 bits qui est la norme en vigueur). C’est d’ailleurs la raison pour laquelle le ransomware est si redoutable : à défaut de charger un backup récent, il est quasiment impossible d’accéder aux fichiers frauduleusement encryptés.

Dès lors, l’enjeu de la sécurité d’un dossier crypté réside dans la conservation de la clé de cryptage en lieu sûr. Dans le cas le plus classique, la clé de chiffrement est conservée en local dans un  magasin de certificat de clé présent sur la plupart des systèmes d’exploitation. Non sans failles, cette solution peut laisser place à des supports matériels physiques prévus à cet effet pour encore plus de sécurité.

Ainsi, au regard des données particulièrement sensibles détenues par les fonctions financières des entreprises, il apparaît impératif que ces dernières se dotent d’outil de cryptage afin de limiter les impacts de la cybercriminalité. 

Zoom sur les fonctions financières : le chiffrement des données sensibles

Comme nous l’avons vu, les fonctions financières sont des cibles particulièrement intéressantes pour les cyberfraudes. En effet, toutes les entreprises disposent d’informations confidentielles sur leur client et fournisseur (accessoirement couverte par le RGPD dès lors qu’elles permettent d’identifier une personne physique) :

• coordonnées bancaires ;
• identités et coordonnées ;
• interlocuteurs privilégiés.

Ces informations peuvent à minima servir à mettre en place des fraudes au RIB voire des fraudes au président afin de faire ordonner des virements frauduleux.

Le cryptage peut alors pallier à cette problématique en rendant les différents référentiels inexploitables par les tiers malveillants renforçant ainsi drastiquement le niveau de sécurité.
Néanmoins, du fait de la problématique du stockage de la clé de chiffrement, le cryptage de fichier ne protège pas des menaces internes. En effet, la fraude peut émaner du service lui-même ou simplement d’une négligence des utilisateurs : vol de compte disposant d’accès au fichier crypté via notamment du phishing et autres méthodes issues de l’ingénierie sociale.

Il n’y a donc pas de protection fiable à 100%. Mais, sans tomber dans la paranoïa, le chiffrement des fichiers sensibles de l’entreprise est une excellente première étape, facile à mettre en oeuvre pour la protéger des cybermenaces. Pour être efficace, le cryptage doit néanmoins être accompagné d’actions de sensibilisation en cybersécurité à destination des acteurs internes de l’entreprise afin de limiter les failles humaines.

Au même titre que le cryptage des données, des outils permettent de renforcer la sécurité des entreprises afin d’assurer sa protection contre les risques de fraude et de cyber-malveillance. Pour vous accompagner dans vos projets de digitalisation et de sécurisation des données, la solution de lutte contre la fraude Trustpair permet de maîtriser l’ensemble des données fournisseurs afin de maintenir un référentiel tiers sain et à l’abri des cybermenaces.

POINTS A RETENIR

• Face à l’essor de la cybercriminalité, les entreprises n’ont plus d’autres choix que de déployer des solutions pour protéger leur activité et leurs données numériques.
• Depuis l’instauration du RGPD, les entreprises sont dans l’obligation de protéger leurs données sensibles, à savoir les données économiques et financières, commerciales, relatives au savoir-faire de l’entreprise ou encore les informations stratégiques. 
• Afin de répondre à ces obligations, et même s’il n’est pas fiable à 100%, le cryptage des données semble être un moyen pertinent pour protéger les données sensibles des entreprises. En effet, cette technique permet via une clé de chiffrement de limiter l’accès aux données grâce à un code secret hautement sécurisé et détenu par quelques personnes.
• Le cryptage des données peut donc s’avérer très utile pour les Directions financières, qui sont particulièrement ciblées par les cyberfraudeurs. Elles doivent redoubler de vigilance quant à la sécurisation de leurs données si elles ne souhaitent pas être victimes de fraude au président, d’arnaques aux RIB ou de ransomware.
• La sécurité et cybersécurité est donc l’un des enjeux majeurs en entreprises ! Des outils permettant de vous accompagner dans cette sécurisation existent, tels que Trustpair, qui propose au Directions financières des ETI et grands groupes de maîtriser l’ensemble des données fournisseurs afin de maintenir un référentiel tiers sain et à l’abri des cybermenaces.