Comment assurer la sécurité des données ?
Dans notre monde du Big Data, les données sont partout, sous différentes formes et deviennent à la fois une force et une menace pour les entreprises. Illustration avec les enjeux en matière de sécurité des transactions en ligne, de protection des mots de passe et le fameux RGPD en place depuis quelques semaines.
Sécurité des transactions
Les fraudes bancaires ont touché 1,2 millions de ménages français en 2016 selon l'observatoire de la délinquance, pour des préjudices souvent inférieurs à 300€. Ce nombre a plus que doublé en 6 ans. Les systèmes sont de plus en plus perfectionnés avec la prédominance du phishing (harponner vos données en se faisant passer un organisme officiel), du vishing (vous soutirer des informations par des commandes vocales) et des malwares (installer des logiciels sur votre ordinateur pour récupérer vos informations de paiement). Très récemment, c'est l'assistant vocal Cortana de Microsoft, installé sur Windows 10, qui a été l'objet des hackers.
Qu'en est-il de l'autre côté de l'écran, pour les entreprises de vente en ligne ? Votre site de e-commerce fonctionne bien mais disposez-vous d'un système capable de détecter les fraudes ? Des CDP (Customer Data Platform) comme Celebrus vous permettent de pousser l'identification du client, non seulement à des fins de personnalisation marketing mais aussi de détection de fraude : l'environnement (adresse IP, appareil, navigateur) et le comportement (saisie au clavier, mouvement de la souris) sont étudiés. Ainsi, si un client saisit plusieurs numéros de cartes bancaires pour finaliser une commande, un appel à ce client sera opportunément suggéré avant l'expédition. La fraude peut aussi venir du prospect qui remplit plusieurs formulaires avec des données différentes pour optimiser un devis par exemple.
L'intérêt pour l'entreprise est évident : ne pas expédier des commandes frauduleuses. A moyen terme, un autre intérêt se dessine en SEO : Google pénalise les sites de e-commerce qui annulent en masse des commandes ou des comptes clients. Plus vous détectez en amont que votre site est la cible d'un hacker, plus vous réagissez vite et vous éviterez de casser les longs mois passés à référencer votre site sur les moteurs de recherche.
Sécurité des mots de passe
Le gouvernement s'inquiète de la sécurisation des mots de passe des français ! Un site spécifique, www.cybermalveillance.gouv.fr, a été créé pour donner les bonnes pratiques, permettre de signaler les piratages et donner une liste de prestataires reconnus en cybersécurité des données. Le guide des bonnes pratiques délivre la bonne parole de la sécurité à destination des PME en 44 pages.
Quelle est la situation ? 25% des employés utilisent le même mot de passe au bureau et à la maison...avec un degré de sécurisation différent entre l'entreprise et le domicile. Il n'est pas si difficile de varier les mots de passe. Il suffit de connaître un poème ou une chanson par cœur et de prendre les premières lettres en variant minuscules et majuscules et en ajoutant la ponctuation et les chiffres pour les articles (« un » devient 1). Exemple : « les sanglots longs des violons de l'automne » devient le mot de passe « lSLdV2lA», un peu meilleur que 12345678 ou que votre date de naissance, une donnée facilement accessible pour un hacker. Autre possibilité : utiliser le même début de mot de passe et y ajouter les 3 premières lettres du site pour lequel vous l'utilisez. Par exemple, vous mettrez "Medor73" pour tous les mots de passe (le nom de votre chien et l'année de naissance de votre conjoint) et ajoutez bim pour créer un compte sur le site de Bimaxis. Vous créez ainsi des mots de passe uniques mais faciles à mémoriser.
Sécurité des données
En entreprise, la sécurité passe aussi par une bonne gestion des accès et des droits et par la mise en place de procédures définies. Un bon outil de gestion des données vous permet de séparer la collecte et la sauvegarde des données de leur exploitation et de leur analyse par les différents services de l'entreprise, avec une gestion des droits adéquate.
Le fameux RGPD entré en vigueur le 25 mai 2018 apporte de nouvelles règles de traitement, de conservation, d'exploitation mais aussi de sécurité des données personnelles recueillies. En France, la CNIL a mis en place sur son site différents guides à l'usage des PME pour se mettre en règle avec le RGPD.
Chaque entreprise a l'obligation d'assurer la sécurité des données personnelles, obligation de moyens, en minimisant les risques de perte ou de piratage. Quelques bonnes pratiques proposées par la CNIL :
- vérifier la complexité des mots de passe des utilisateurs internes et externes
- sécuriser les accès aux locaux de l'entreprise
- créer des profils distincts en fonction des besoins
- sauvegarder et être en mesure de récupérer les données.
Le RGPD est aussi un très bon moyen de communication offert aux entreprises. Les sociétés peuvent ainsi expliquer leur politique d'utilisation des données personnelles et montrer les avantages de la personnalisation pour le client. N'oubliez pas : si 81% des français se sentent de plus en plus espionnés par les marques, 62% d'entre eux sont prêts à payer plus cher une marque qui fait preuve d'éthique dans la gestion des données (Étude Havas Paris Retail Week 2018). La croissance du moteur de recherche français Qwant qui a fait du respect des données personnelles son point fort en est une bonne illustration. Qwant est devenu le second moteur de recherche en France en avril 2018 au moment du scandale Facebook / Cambridge Analytica.