Interview de Cécile Masson, Business Development Manager sur la solution DOT Anonymizer d'ARCAD Software :
Cécile, depuis 10 ans que tu vends notre solution d’anonymisation des données, tu as eu l’occasion d’interroger de très nombreuses entreprises sur leur façon d’aborder la protection des données personnelles et professionnelles.
Aujourd’hui, les fuites de données explosent. Nous n’avons pas encore les chiffres 2024.
Quelles informations peux-tu nous communiquer sur les violations de données en 2023 ?
[Cécile Masson] Voici les chiffres publiés par différentes autorités que j’ai l’habitude de partager avec mes prospects.
En France, la CNIL a reçu 4 668 notifications de violations de données en 2023, soit une augmentation de 14 % par rapport à 2022. Ces notifications concernent majoritairement des incidents liés à des erreurs humaines ou des défaillances techniques, souvent évitables.
À l’échelle mondiale, le rapport IBM Cost of a Data Breach 2023 révèle que le coût moyen d’une fuite de données a atteint 4,45 millions de dollars, un chiffre en hausse constante depuis plusieurs années.
En parallèle, le Rapport Hiscox 2023 sur la gestion des cyber-risques indique que 53 % des entreprises françaises ont été victimes d’une cyberattaque, une progression par rapport aux 48 % de l’année précédente.
L'augmentation des surfaces d’attaque numériques (multiplication des environnements, outils d’IA, etc.) et l'absence de mise en œuvre de solutions spécialisées pour sécuriser les données sensibles expliquent en partie cette escalade.
Cécile, d’après ce que tu as pu voir sur le terrain, quels sont les impacts réels de ces fuites de données ?
[C.M.] Les fuites de données ont bien entendu des répercussions financières sur les entreprises et leurs clients. Mais elles portent également atteinte à l’image de marque.
Avec le RGPD, les entreprises risquent des amendes pouvant atteindre 20 millions d’euros ou 4 % de leur chiffre d'affaires annuel. En 2023, la CNIL a prononcé 42 sanctions, pour un montant total de 89 179 500 euros.
Les données bancaires attirent particulièrement. Par exemple, lors de la fuite de données de Free, des informations comme le nom, prénom, numéro de téléphone ou adresse email ont d’abord été volées. Ensuite, les hackers sont revenus chercher les numéros de carte bleue, les IBAN… Ces données permettent de faire des virements frauduleux, notamment via des appels se faisant passer pour des conseillers bancaires.
Les impacts des fuites de données ne se limitent pas aux entreprises, ils touchent également les utilisateurs finaux ; c’est vraiment préoccupant.
Selon l'IBM Cost of a Data Breach Report 2023, les fuites de données dans les secteurs réglementés, comme la santé ou la finance, coûtent en moyenne 10,93 millions de dollars par incident. Ces coûts incluent les investigations, les indemnisations, et la perte de revenus due à la perte de confiance des clients.
Une enquête menée par la Commission européenne révèle que 68 % des consommateurs hésitent à continuer à faire affaire avec une entreprise ayant subi une fuite de données. La perte de clients est souvent plus coûteuse que l'amende elle-même.
Cécile, la solution que tu proposes à nos clients, DOT Anonymizer, est spécialisée dans la protection des environnements hors-production. Pourquoi, selon toi, les entreprises sous-estiment-elles souvent la sécurité des environnements hors production ?
[C.M.] L’environnement de production (dans lequel les applications informatiques sont exécutées en conditions réelles et pour les utilisateurs finaux) est très sécurisé car c’est l’environnement qui semble le plus évident à attaquer.
Il faut y penser, se dire que les données copiées dans le hors-production à des fins de test, de développement, de formation, de statistiques ou à destination des sous-traitants pour le support technique ou des prestations de services, viennent de la production. C'est souvent une omission, simplement. En cybersécurité, les entreprises concentrent leurs efforts sur la production.
Or 72 % des attaques ciblent les environnements hors-production. Les hackers préfèrent attaquer là où il y a moins de protections.
Et bien sûr, l’envoi de données à des partenaires tiers non sécurisés constitue un risque supplémentaire. Selon la CNIL, 30 % des incidents notifiés concernent des erreurs humaines dans le partage de fichiers contenant des données sensibles, notamment via des services de stockage cloud non conformes.
Que penses-tu de l’entraînement des modèles d’intelligence artificielle avec nos données personnelles ?
[C.M.] Le risque de divulgation est très important ! Oui, les modèles d'intelligence artificielle (IA) constituent une autre faille majeure.
Le Rapport européen sur la cybersécurité souligne que les données sensibles utilisées pour entraîner ces modèles sont souvent transférées à des sous-traitants ou des partenaires sans chiffrement ni anonymisation.
Quelles préventions as-tu pu voir chez nos clients ?
[C.M.] Une entreprise bien protégée a généralement un SOC (Security Operations Center) en place. Si ce n’est pas le cas, elle est plus exposée. Cela commence par réduire l’exposition des données, notamment via le "Privileged Access Management" ou PAM, qui consiste à limiter les accès des employés uniquement aux données nécessaires à leur travail. Sans stratégie de ce type, tout le monde peut accéder à tout, augmentant considérablement les risques de fuite.
Le détournement de comptes valides est le vecteur de cyberattaque le plus courant aujourd’hui, selon l’IBM X-Force Threat Intelligence Index.
Cécile, quels avantages notre solution Dot Anonymizer offre-t-elle dans la prévention des fuites de données ?
[C.M.] Elle permet de travailler efficacement sur le hors-production, avec une anonymisation cohérente et rapide à mettre en œuvre.
DOT Anonymizer anonymise les données personnelles avant qu’elles ne soient extraites de l’environnement sécurisé, en maintenant leur cohérence fonctionnelle : vous remplacez Paul par Jacques dans toutes les tables de vos différents SGBD !
Les données ainsi transformées par DOT Anonymizer n’ont aucune valeur pour les hackers mais conservent toute leur pertinence pour les usages hors production !
Et vous êtes ainsi en conformité avec les réglementations sur la protection des données personnelles.
Merci beaucoup Cécile de nous avoir partagé ton expertise !
Si le sujet de la protection des données personnelles vous interpelle, n’hésitez pas à nous contacter : Contact - Dot Anonymizer.