Partage de données : quels sont les risques encourus pour votre organisation ?

La collaboration et la circulation de l’information jouent un rôle central dans le fonctionnement de toute entreprise. Dans un environnement ouvert, où l'information peut entrer et sortir du réseau sans restriction, le partage des fichiers et de données est souvent perçu comme une action anodine.

Pourtant, ces partages exposent votre entreprise à plusieurs risques en matière de sécurité informatique. Quelles sont les cybermenaces liées au partage de données ? Quelles sont les obligations légales à respecter et les précautions à prendre pour vous en protéger ?

Le partage de données, pilier de la collaboration

Le partage de données est le processus qui consiste à transférer des informations, par voie numérique, à des utilisateurs, des entreprises mais aussi à des environnements informatiques. Il implique la transmission intentionnelle de données d'un point à un autre, que ce soit à l'intérieur d'une organisation, entre organisations ou avec des parties externes. 

Les données, qui peuvent être contenues dans des fichiers ou des dossiers, sont partageables de plusieurs façons : 

• par email, que ce soit dans le corps de texte ou en pièce jointe,
  dans des applications collaboratives, qui ont souvent pour but de simplifier la communication et la gestion de projet,
• par des services de messagerie instantanée,
• via les réseaux sociaux, qu’ils soient internes ou non,
• à travers des espaces de stockage hébergés dans le cloud ou on-premise qui permettent de partager des fichiers via des liens de téléchargement ou un accès direct à des dossiers partagés,
• en utilisant des protocoles peer-to-peer, FTP (File Transfer Protocol) ou SFTP (Secure File Transfer Protocol),
• ou encore via des périphériques externes (clé USB, disque dur, etc.).

La grande diversité des méthodes de partages induit donc plusieurs risques majeurs en matière de cybersécurité pour votre entreprise. 
 

Les menaces liées au partage de données 

Les risques associés aux partages de données sont à diviser en deux catégories : ceux étant liés à une erreur humaine et ceux issus d’un acte malveillant. Voici les principales menaces auxquelles votre entreprise doit faire face en matière de partage des données : 

• L’accès non autorisé aux données : un ou plusieurs individus sont en mesure d’accéder à des données confidentielles sans en avoir la permission. Cette situation peut être provoquée par une erreur humaine, par exemple dans le choix du destinataire d’un email, mais aussi par un mauvais paramétrage des permissions des utilisateurs ou par une usurpation d’identité. 

Parmi les entreprises françaises ayant subi une cyberattaque en 2023, 16% ont été victimes d’une exfiltration et / ou une divulgation volontaire de données par une personne ayant un accès légitime, selon le dernier baromètre CESIN. Cela peut par exemple être le cas d’un collaborateur sur le départ qui tente d’exfiltrer votre base client.

• Une perte de données : une mauvaise gestion du partage de fichiers peut entraîner la perte accidentelle de données importantes à l’instar d’une erreur de manipulation, d’un écrasement de fichiers, ou d’un problème de synchronisation.
• Les attaques de type “man-in-the-middle” : les cybercriminels interceptent les données entre leur émission et leur réception en vue de les consulter, voler ou encore de les modifier. Les réseaux publics sont particulièrement vulnérables à ce type de menaces.
• Les malwares / virus : toute pièce-jointe partagée à votre organisation est susceptible d’être infectée par des logiciels malveillants ou des virus capables de compromettre la sécurité de vos données et de votre SI. 
• Une perte de contrôle sur les données : partager des données à l’extérieur de l’entreprise est toujours une prise de risque, car vous perdez le contrôle sur la manière dont ces données sont utilisées ou partagées par d'autres parties… ce qui peut conduire à des violations de la confidentialité ou à des abus. Les données partagées et les destinataires doivent donc être choisis avec précaution.

Les conséquences de ces risques, lorsqu’ils surviennent, peuvent être multiples. Si une simple perte de données peut affecter le déroulement de vos opérations, une violation de données engendre de nombreux coûts (frais de notification, honoraires d’avocats, etc.) et détériore considérablement la confiance des clients ainsi que l’image de marque. En cas de vol de données sensibles, à l’instar de la propriété intellectuelle, celles-ci peuvent faire l’objet d’une demande de rançon et/ou être revendues à la concurrence. 

Partage de données : quelles obligations légales ?

Le partage de données entre entreprises, collaborateurs et tiers est soumis à des obligations légales dans le but de protéger la confidentialité et la sécurité des informations échangées. Parmi elles, on trouve : 
 

• Le Règlement Général sur la Protection des Données (RGPD) : cette réglementation européenne stipule que les entreprises sont tenues d'obtenir le consentement clair et explicite des individus avant de partager leurs données personnelles. Elles ont également l’obligation de garantir la sécurité et l'intégrité des données lors du partage, ainsi que de notifier la CNIL en cas de violation de données.
• Les normes sectorielles et certifications : certains secteurs d'activité sont soumis à des normes spécifiques en matière de partage de données. Par exemple, dans le secteur de la finance, les entreprises peuvent être tenues de se conformer aux normes PCI DSS pour le partage de données de carte de crédit.
  Par ailleurs, il est important de noter que la nouvelle directive NIS2, qui entrera en application en octobre 2024, imposera aux entreprises concernées de prendre des mesures pour sécuriser le partage des données, à l’instar de leur chiffrement.
• La PSSI et les autres documents contractuels : si votre entreprise dispose d’une Politique de Sécurité des Systèmes d’Information (PSSI), celle-ci doit lister un certain nombre de règles à respecter pour partager les données en toute sécurité. Ces règles doivent être communiquées à l’ensemble des collaborateurs pour être appliquées. De même, si votre entreprise est signataire de contrats incluant des clauses de confidentialité, il est important de les respecter : par exemple, les données d’un client ne peuvent pas être communiquées à des partenaires si celui-ci s’y oppose.

C’est le rôle du DPO (Data Protection Officer) ou à défaut du dirigeant de l’entreprise de veiller au respect de ces différentes obligations. 

Les transferts de données sont une porte d’entrée souvent utilisée par les cybercriminels pour s’en prendre aux entreprises. En parallèle, il convient de ne pas sous-estimer la menace interne, qu’elle soit intentionnelle ou non. La sensibilisation des collaborateurs à ces problématiques joue un rôle déterminant dans la prévention des incidents, ainsi qu’une gestion sécurisée des accès et l’adoption de solutions de sécurité adéquates.