Vol de données personnelles en entreprise : une histoire sans fin ?

#Sécurité 23.06.2016 3min

Le vol de données personnelles a un réel impact financier, économique mais également en terme d’image pour une entreprise. Récemment, plusieurs d’entre elles, dont des banques, ont fait les frais de ce type d’attaque.

Les données personnelles de dizaines de milliers de clients de la banque américaine Morgan Stanley ont été piratées. En cause ? Des procédures internes de sécurité insuffisantes d’après un communiqué de juin 2016 de la Securities Exchange Commission (SEC), le gendarme boursier des Etats-Unis.

 Une pénalité d’1 million de dollars

Entre 2011 et 2014, un employé de la banque a pu – sans y être autorisé – consulter et transférer des données liées à 730 000 comptes bancaires sur un serveur privé, qui a ensuite été piraté. Certaines informations confidentielles avaient alors été « mises en vente en ligne », explique la SEC. La banque a admis que ce hacking avait touché 10% des clients de l’activité de gestion de fortune.

« Morgan Stanley n’a pas su adopter les règles écrites et des procédures raisonnablement conçues pour protéger les données des clients », a estimé le gendarme américain dans son communiqué. Pour éviter des poursuites pour manquement aux règles, la banque a cependant accepté de verser une pénalité d’un million de dollars sans toutefois admettre sa responsabilité.

 Quand l’histoire se répète

La banque américaine est loin d’être un cas isolé. Depuis 2014, de grandes institutions financières, mais également des entreprises privées ont été victimes d’intrusions dans leurs systèmes informatiques, avec vol de données de leurs clients à la clé. L’une des attaques les plus importantes concerne JPMorgan Chase, la première banque américaine en termes d’actifs, dont des listings comprenant les données de 76 millions de ménages et de 7 millions de PME, ont été volés durant l’été 2014.

 Vol des données de près de 2 millions d’abonnés du groupe TF1, piratage des bases de données de Sony Pictures Entertainment, intrusion dans les systèmes de Snapchat, Orange, Target… Les affaires se succèdent. Récemment, le site de petites annonces Vivastreet.com a été la cible de pirates qui ont subtilisés les informations de 28 millions d’utilisateurs.

 Protéger leur plus grande richesse

Les vols à répétition dont sont victimes les entreprises mettent en lumière le fait que les données ont une valeur qui attire les convoitises. Il leur revient donc de protéger ce patrimoine et de le valoriser. D’autant que ces données ne concernent pas seulement l’entreprise et ses salariés. Cette dernière possède une quantité d’informations (dont des données personnelles confidentielles) sur ses clients, ses fournisseurs, ses partenaires.  La législation, de son côté, cherche sans cesse à s’adapter à ces nouveaux enjeux. Elle oblige les entreprises à prendre les mesures nécessaires pour se protéger et ainsi protéger leurs clients.

« Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 75 000 euros d’amende.

Lorsque cette infraction a été commise à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 100 000 € d’amende », d’après l’article 323-3 du Code Pénal.

Sécurité informatique : des failles qui peuvent coûter cher aux entreprises

Pour éviter de perdre leur bien le plus précieux, les entreprises ont tout intérêt à se protéger au maximum en interne pour faire face à ce type d’attaque. D’après un rapport Allianz Global Corporate, les attaques coûteraient 445 milliards d’euros chaque année à l’économie mondiale. Pour y parvenir, elles peuvent s’appuyer sur les avancées juridiques mais également sur des solutions techniques innovantes.

En qualité de responsable de traitement, les entreprises doivent mettre en place les mesures de sécurité appropriées pour protéger les données concernant leurs clients et prospects. Tout dirigeant se doit de se conformer à ces mesures de gestion et d’anticipation des risques. Pour rappel, l’article 34 de la loi « Informatique et libertés » impose à tout responsable du traitement  « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

A défaut, cela constitue une infraction pénale sanctionnée de cinq ans de prison et de 300 000 € d’amende (Article 226-17 du Code pénal). Pour les personnes morales la peine encourue est de 1 500 000 euros.