Soyons TOUS PA-RA-NO avec les données personnelles !

Une fuite, c’est tout ! Vous êtes sûr ?

Vous êtes allés faire un test Covid et, quelques semaines plus tard, vous lisez d’un œil distrait que plus de 700 000 tests (et leurs résultats) ont été accessibles en raison de failles sur le site internet de la société X. Il y a des chances pour que, après avoir laissé échapper un soupir, vous soyez passé à autre chose.

Vous auriez dû pousser un peu plus la réflexion, car la fuite a concerné toutes les informations attachées aux tests, adresse postale, adresse mail, numéro de téléphone. En effet, toutes ces fuites débouchent quelque part…

D’une certaine manière, c’est un peu comme une fuite d’eau qui s’échappe et va toujours quelque part.

Il en est généralement de même pour nos données et c’est là que cela devient ‘‘intéressant’’, car ce quelque part peut être l’ordinateur d’un cyberpirate. Et ce matériau lui permet de prendre contact avec vous pour vous glisser un piège numérique, d’utiliser une partie de votre identité…

De plus, par ce biais, c’est votre entreprise qui peut être infectée.

Première cible, la personne physique

Faisons simple, ce que l’on appelle pudiquement fuite est souvent le résultat d’une rencontre entre un hacker et un système d’information mal  —ou peu — protégé. De cette fuite, s’échappe une plus ou moins grande quantité d’informations rattachées à des personnes, vous par exemple. Avec de telles informations — nom, téléphone, adresse mail, etc. — le hacker va pouvoir chercher à vous hameçonner, au milieu de dizaine, de centaines de milliers d’autres internautes. « Vous avez gagné un superbe VTT ; vous avez un colis en souffrance et vous devez verser… ; votre banque a besoin que vous validiez… ». On est là dans un cas simple, vous soutirer de l’argent.

Au-delà de cet hameçonnage (phishing), on peut faire ‘‘faire mieux’’ et insérer dans votre ordinateur, ou votre smartphone, un ver numérique qui va vous écouter, récupérer tout un tas de données utilisables ultérieurement. C’est silencieux, indolore, au moins pendant un certain temps et très souvent fort discret.

C’est ainsi que le hacker va découvrir qui vous êtes, peut-être où vous travaillez, des noms et postes de collègues. Je vous laisse imaginer tout ce qui peut intéresser notre hacker. Pendant ce temps, je passe à la deuxième cible…

Deuxième cible potentielle, l’employeur

Oui, vous avez bien lu, je parle d’employeur et pas d’entreprise. En effet, les données personnelles de salariés, récupérées lors d’une fuite, peuvent servir, non pas à le dépouiller, mais à aller ailleurs, plus loin. Ainsi, toujours à son insu, le hacker peut chercher à pénétrer d’une manière ou d’une autre le système d’information de son employeur. Et là, encore une fois les actions du pirate peuvent être très variées.

Cela peut aller du vol de données, qui à leur tour seront revendues, jusqu’à un ‘‘braquage numérique’’. Cela peut être une opération de chantage à la diffusion de données sensibles. Enfin, bref, là encore, une fois le hacker tapi dans un recoin du système d’information de l’entreprise, il peut agir de multiples façons, très rapidement ou en prenant le temps.

Tous parano, donc, mais pas que !

Vous m’avez compris, le vol de données — pardon la fuite de données personnelles ! — ne concerne pas que les personnes physiques qui en sont les premières victimes. Cela concerne, et ce sera de plus en plus le cas, les entreprises. En effet, même si celles-ci multiplient les protections numériques, reste le salarié. Il entre et sort de la forteresse. Il peut être naïf ou commettre des bévues. C’est le maillon faible !

Il me semble donc évident que toute entreprise doit prendre du temps pour sensibiliser, former, faire des piqures de rappel à ses salariés, quelles que soit leurs fonctions sur les risques cyber. Ensuite — et c’est là que je positionne la parano — chaque fois que vous — DRH ou dirigeant — avez vent d’une fuite de données, ou d’un vol, informez-les salariés et reprenez avec eux les basiques de la cybersécurité. Cela ne sera jamais inutile, même si dans 99 % des cas vos salariés ne sont pas concernés par ladite fuite, mais le jour où cela arrivera, vous serez prêts, tous !