Dans quelle mesure devriez-vous vous inquiéter de la confidentialité et de la sécurité des données de votre organisation ? Lors d’une récente table ronde virtuelle, commanditée par HCLTech sur X (anciennement Twitter), deux experts en sécurité se sont accordés pour dire que vous devriez être encore plus préoccupé que vous ne l’êtes probablement déjà.

« La plus grande menace à la confidentialité et à la sécurité numériques aujourd’hui, c’est la croyance et la perception selon lesquelles une organisation ou une personne pourrait penser qu’elle ne sera pas celle qui subira une violation de données », a déclaré James Caton, directeur mondial de la pratique Données et IA chez Microsoft. En réalité, cette forme de complaisance est profondément mal placée. Les métriques Caton suivies par Microsoft indiquent que les risques pour la sécurité et la confidentialité des données augmentent chaque jour.

D’où viennent les menaces ? Comment devriez-vous réagir ? Comment savoir même si votre sécurité a été compromise ? Dans une conversation d’une heure couvrant de nombreux sujets, Caton et Andy Packham, architecte en chef et premier vice-président de l’unité Microsoft Ecosystem chez HCLTech, ont discuté des risques auxquels font face les entreprises aujourd’hui – et de ce qu’elles devraient faire à ce sujet.

Deux groupes sont responsables de l’insécurité croissante, selon Caton. « Si l’on regarde de plus près ce qui alimente l’augmentation du manque de sécurité et de confidentialité, cela se divise vraiment en deux catégories. La première concerne les acteurs étatiques qui ont un agenda politique, et l’autre, les acteurs non étatiques qui cherchent à monétiser », explique-t-il.

Selon Caton, les cybercrimes les plus répandus actuellement incluent le vol de données et leur conservation contre rançon, ainsi que l’extraction de crypto-monnaie à l’insu de l’utilisateur sur la plateforme informatique de quelqu’un d’autre.

Bien que les technologies de protection des données soient devenues plus accessibles ces dernières années, il en va de même pour les outils des cybercriminels, explique Caton. « Il est aujourd’hui plus facile de gagner de l’argent grâce aux cybermenaces qu’auparavant. Vous pouvez acheter des logiciels malveillants en ligne sur le Darknet pour une bouchée de pain », ajoute-t-il.

C’est maintenant tout un écosystème, incluant les développeurs de logiciels malveillants, qui créent les logiciels, et les distributeurs de logiciels malveillants, qui mènent des campagnes de phishing pour ensuite intercepter et vendre les données.

Se protéger contre le vol et les attaques devient également plus difficile à mesure que l’offre de données ne cesse de croître et que le nombre d’endroits à partir desquels les données peuvent être consultées augmente. « Nous avons créé une quantité phénoménale de données — cela a crû de façon exponentielle et continue de croître exponentiellement. Les données sont également accessibles à partir de plusieurs endroits, pas seulement au bureau avec notre centre de données et notre pare-feu qui les enveloppent et les protègent bien », explique Packham.

Cette dispersion physique engendre également de nouveaux risques, selon Packham, tout particulièrement avec les appareils connectés à l’Internet des objets (IdO).

Eux aussi nécessiteront un traitement particulier, puisque de nombreux dispositifs IdO se trouvent dans des environnements physiquement exigeants. « C’est un environnement très difficile. Ce n’est pas votre bureau propre. Votre environnement peut être très poussiéreux, très sale, vous pouvez être dans une mine ou au large dans la mer du Nord », poursuit-il.

Les risques liés à l’IA

Pour rendre la sécurité TI encore plus complexe, de nouveaux risques émergent. L’IA générative, selon Caton, « ouvre un tout nouveau champ d’occasions ainsi que de menaces potentielles pour la sécurité des données ». D’un côté, elle pourrait aider la sécurité en créant suffisamment de « bruit » de fond pour masquer la circulation de données critiques dans un réseau. « D’autre part, je peux facilement imaginer que l’IA générative soit utilisée pour tenter de submerger les systèmes ou pour simuler des données authentiques afin d’obtenir un accès à des choses », dit-il. Une possibilité émergente qu’il note : de nombreux systèmes financiers utilisent maintenant des logiciels de reconnaissance vocale pour l’authentification, mais l’IA générative pourrait-elle être entraînée à imiter votre voix suffisamment pour accéder à vos comptes ?

Par ailleurs, l’IA facilitera aussi la détection. « L’IA commencera à nous permettre d’examiner des schémas et tendances et d’identifier des éléments qui semblent anormaux sur de très longues périodes dans des environnements beaucoup plus bruyants, puis de les signaler pour enquête », explique Packham.

Renforcer vos défenses

Caton a prévenu que les entreprises doivent adopter une vision de la sécurité plus large aujourd’hui qu’autrefois. « Une idée fausse courante est que, si mes employés respectent les protocoles de sécurité et de protection des données, alors je suis à l’abri », dit-il.

Ce n’est plus vrai. Selon Caton, de nombreuses violations se produisent au niveau des appareils. « Nous avons constaté chez Microsoft que 78 % des appareils sur les réseaux présentent des vulnérabilités connues », rapporte-t-il. La moitié de ceux-ci peuvent être corrigés ou mis à jour. L’autre moitié, cependant, ne peut pas l’être.

Les fournisseurs peuvent eux aussi constituer une source de vulnérabilité selon Caton, « donc si vous êtes une organisation qui dispose de politiques rigoureuses pour vos employés, de politiques rigoureuses pour vos appareils, assurez-vous que ces politiques soient également appliquées auprès des fournisseurs et partenaires qui interagissent avec vos systèmes TI ».

Un compromis difficile

Cependant, il n’est pas toujours facile d’établir le juste équilibre entre sécurité et opportunité. « Vous voulez tout verrouiller et tout protéger, mais d’un autre côté, il vous serait alors impossible de gérer votre entreprise », indique Packham.

Les entreprises devraient plutôt réfléchir aux données qu’elles doivent protéger en priorité. « La réponse doit être graduée, et il faut se concentrer et comprendre quelles parties de toutes les données sont réellement confidentielles et doivent absolument rester protégées », explique-t-il.

Élaborer un tel plan n’est pas facile. « Ça a l’air facile, avance Caton, mais c’est difficile à réaliser. » Des enjeux culturels et opérationnels, comme le fait de travailler pour une entreprise où les employés travaillent parfois à distance ou sur leurs propres appareils, peuvent poser des difficultés. 

Packham a également suggéré de se préparer au pire. Rassemblez les bonnes personnes des affaires et des TI dans la même pièce et passez en revue ce que l’entreprise devrait faire si elle était attaquée. Ceci devrait inclure non seulement la réponse immédiate, mais aussi les suites de l’attaque. Disposez-vous des processus nécessaires pour gérer vos clients ? Quelle est votre responsabilité légale d’informer vos clients si leurs données ont été compromises ? S’il y a un enjeu de conformité et que cela finit dans la presse, comment gérerez-vous la situation ? Il faut avoir envisagé tout cela avant que ça arrive, selon Packham, « car cela risque fort de nous arriver à tous un jour. »