Comment en finir avec ces Méga Fuites de Données, pour de vrai ?
Le dernier exemple Free n'est que la continuité d'autres fuites et des prochaines à venir, étudions comment résoudre ce problème.
Le dernier incident chez Free fait finalement suite à une longue série de fuites de données impliquant des acteurs majeurs comme l'Assurance Maladie, Pôle Emploi et de nombreuses organisations privées.
Ayant travaillé sur des dizaines de fuites de données plus ou moins massives et plus ou moins sensibles, j'ai vu des cas où des données médicales de personnes en situation de handicap ont été volées.
Ces situations dramatiques sont devenues presque banales, et pourtant, elles ont des conséquences très réelles pour les victimes.
Pourquoi c'est un problème
Les fuites de données personnelles ne sont pas seulement une question technique, c'est avant tout une question de confiance et de respect des droits fondamentaux. Voici quelques raisons pour lesquelles ces incidents posent problème :
Les données personnelles sont par principe personnelles : Chaque individu a droit au respect de sa vie privée. Le partage involontaire de ses informations peut avoir des conséquences très négatives sur sa vie, sa sécurité et son bien-être.
Les données contextualisées permettent des attaques ciblées : Lorsque des informations sensibles sont volées, elles peuvent être utilisées pour réaliser des attaques de phishing sophistiquées et ciblées. Les attaquants utilisent les données pour se faire passer pour des entités de confiance, rendant leurs tentatives de fraude d'autant plus dangereuses.
Les personnes vulnérables sont exposées : Les citoyens moins familiers avec les enjeux de la cybersécurité, souvent les plus vulnérables, se retrouvent particulièrement exposés. Ils sont les premières cibles de ces attaques et ont peu de moyens pour se protéger une fois leurs données en fuite.
Pourquoi ça fuite en fait
Il est facile de pointer du doigt les organisations victimes, mais il est utile de comprendre les raisons sous-jacentes des fuites de données :
Manque de mesures de sécurité appropriées : Certaines organisations n'ont tout simplement pas les mesures de sécurité adéquates en place pour protéger les données de leurs clients ou collaborateurs. Cela peut être dû à un manque de connaissance, de budget, ou d'attention à la cybersécurité.
Erreurs humaines : De nombreuses fuites de données sont causées par des erreurs humaines. Une mauvaise manipulation, un fichier mal protégé, une mauvaise configuration de sécurité, et les données se retrouvent exposées au grand jour. Les faiblesses humaines sont souvent le maillon faible des dispositifs de sécurité.
Motivation financière énorme : Pour les données les plus sensibles, les attaquants ont des motivations financières importantes. Même lorsque les organisations investissent de manière significative dans la cybersécurité, les cybercriminels déploient des moyens équivalents pour réussir à mettre la main sur des informations de valeur.
Des pistes de solutions
Il est temps d'imaginer de nouvelles solutions, sans prétendre avoir une réponse miracle, mais en proposant quelques pistes qui pourraient contribuer à une meilleure sécurisation des données :
Une messagerie numérique officielle d'État : Pour réduire le risque lié aux communications institutionnelles, il pourrait être utile de créer une messagerie unique, gérée par l'État, qui serait utilisée pour les courriers officiels et importants. Plutôt que de se baser sur des emails non sécurisés, les citoyens auraient une plateforme unique, plus sécurisée, pour recevoir leurs communications importantes.
Dévaloriser les données personnelles de base : Aujourd'hui, avec quelques informations simples comme le nom, le prénom, l'email et l'adresse, il est possible d'usurper l'identité de quelqu'un pour accéder à ses comptes privés. Une des pistes serait de renforcer l'authentification des utilisateurs, en interdisant les contrôles de sécurité facilement contournables comme les codes SMS et en leur substituant des moyens d'authentification multi-facteurs plus solides.
L'émergence de tiers de confiance personnels : Sur le modèle de la signature électronique ou des coffres-forts numériques, il pourrait être utile de créer des tiers de confiance pour le stockage des données les plus sensibles. Ces tiers de confiance auraient la responsabilité de protéger des informations critiques et, en échange, les organisations pourraient solliciter ces entités plutôt que de devoir stocker elles-mêmes des données sensibles.
Ces pistes ne sont bien sûr pas exhaustives, et il est évident qu'il est plus simple de les écrire que de les mettre en pratique. Cependant, il est temps de s'engager réellement pour protéger nos concitoyens, en particulier les plus vulnérables numériquement. Ce n'est qu'en réfléchissant différemment et en innovant que nous pourrons espérer réduire significativement ces méga fuites de données.
Pour aller plus loin avec CyberLead
Si vous êtes intéressé par des solutions concrètes et une approche pragmatique de la cybersécurité, découvrez nos ressources :
Kit documentaire RSSI : Un ensemble complet de documents pour structurer votre approche de la sécurité.
Guide Cyber OT en pratique : Une feuille de route pour la cybersécurité des systèmes industriels.
Livre blanc de reconversion à la cyber : Un guide pour ceux qui souhaitent s'orienter vers la cybersécurité.