Les entreprises sous-estiment les risques du piratage visuel

Une seule information suffit à un pirate informatique pour s’infiltrer dans le réseau d’une entreprise et s’approprier toutes ses données confidentielles. Or, il est extrêmement simple de se procurer cette « clé d’entrée » dans le système grâce au piratage visuel, comme le démontre l’expérience réalisée cet été par 3M et Ponemon Institute[1]. Son principe était simple : obtenir des informations sensibles ou confidentielles, en utilisant uniquement des moyens visuels, dans des entreprises de 8 pays : Allemagne, Chine, Corée, Etats-Unis, France, Inde, Japon et Royaume-Uni.

Stephan Ichac,  Directeur Développement Marché de la Division Films Optiques de 3M

Stephan Ichac,Directeur Développement Marché de la Division Films Optiques de 3M

Un piratage efficace ne nécessite pas de technique ou d’équipements sophistiqués

L’expérience menée cette année par Ponemon Institute pour 3M prouve à quel point il est facile d’accéder à des données sensibles d’un simple regard :

  • 91% des attaques ont atteint leur objectif dans les 8 pays ciblés par l’étude, sachant qu’en France, ce chiffre est de 90%.
  • Moins de 15 minutes ont suffi pour que près de la moitié des attaques visuelles atteignent leur but.
  • 52% des informations sensibles dérobées ont pu être consultées sur des écrans. Un résultat comparable est obtenu en France, avec 50% de données confidentielles obtenues grâce à une consultation écran.
  • Chaque attaque a permis d’accéder à 3,9 informations sensibles en moyenne. A noter : la France semble moins bien sécurisée que les autres pays de l’étude, puisque sur ce critère, ce sont 5,3 informations sensibles qui ont été dévoilées.
  • 27% des informations volées sont des mots de passe, des informations financières, ainsi que des documents confidentiels. En France, ce chiffre monte à 30%.
  • Dans 68% des cas, les attaques visuelles n’ont pas été remarquées par les salariés, alors qu’en France, ce sont 77% d’entre elles qui n’ont pas été démasquées.

Les plans de protection des données des entreprises doivent intégrer le facteur humain

Les résultats de l’expérience 3M / Ponemon Institute renforcent ma conviction profonde : il est aujourd’hui stratégique pour les entreprises de sensibiliser leurs salariés aux conséquences que peut avoir le piratage visuel de leurs données. Extrêmement facile à mettre en œuvre, il peut leur coûter leur emploi, ainsi que des sommes très importantes à leur entreprise, le coût moyen d’une atteinte à la protection des données étant estimé à 3.5 millions d’euros[2]. Les exemples sont nombreux, comme celui de ce consultant, qui révise dans l’avion la stratégie à un an qu’il présentera quelques heures après en réunion, sans faire attention à son voisin de voyage qui lit par-dessus son épaule… A la sortie de l’aéroport, ce dernier poste sur les réseaux sociaux les nombreuses informations confidentielles qu’il a pu capter. Les conséquences : un contrat rompu, doublé d’un procès entre l’employeur du consultant et son client, et pour finir, le licenciement du consultant impliqué…

Protection visuelle des données : un contexte législatif et matériel impossible à ignorer

Entre la mise en place de la nouvelle réglementation européenne de protection des données personnelles et l’évolution des environnements de travail qui favorise l’augmentation de vol de données via effraction visuelle (open space, écrans plus grands, travail nomade…), il devient aujourd’hui impératif de s’équiper de filtres de confidentialité, qu’ils soient installés par-dessus nos écrans ou qu’ils y soient directement intégrés. A ce titre, je recommande à tous ceux qui souhaitent mettre en place dans leur entreprise une politique de protection des données de consulter le Guide AFNOR « Prévention et gestion de la fuite d’informations – Protection du patrimoine informationnel » auquel 3M a collaboré.

[1] Ponemon Institute est un centre de recherche crée en 2002, spécialisé dans la protection des données et de la vie privée, ainsi que dans les politiques de sécurité des données.

[2] Symantec 2012