Au cours des derniers mois, plusieurs vols de données bancaires sur la place financière suisse ont remis en lumière la vulnérabilité des entreprises face au vol d’informations. Le nombre de vols de données, en constante progression année après année en Europe, est-il un indicateur que de nombreuses entreprises ne font pas assez d’efforts pour se protéger ?

Michael Hofmann,
Partner, KPMG IT Advisory

Des données déjà suffisamment protéges ?


La plupart des entreprises luxembourgeoises ont déjà fait beaucoup pour réduire les risques d’occurrence des vols des données. Les restrictions imposées par les règles de protection des données, le haut niveau de compétence et de qualification des acteurs impliqués dans la sécurité de l’information au Luxembourg, et éventuellement la protection résultante du secret bancaire pour les entreprises concernées, ont contribués à assurer que la protection des informations soit considérée par la direction d’une entreprise locale comme étant une problématique particulièrement cruciale.

Toutefois, les événements qui ont touché la place financière suisse ont démontré, à ceux qui n’en avaient pas encore pris conscience, que des données sensibles peuvent toujours être volées malgré la présence de solutions techniques sophistiquées et d’un haut niveau de maturité des processus informatiques. La cause étant bien souvent la sous-évaluation de l’importance du facteur humain dans la protection des données.

Le maillon faible de la chaîne


En période de crise, l’augmentation des pressions imposées aux entreprises contribuent à fortement augmenter le stress et l’incertitude ressentis par les employés concernant leur futur et celui de l’entreprise. Il n’est donc pas surprenant que certains employés soient tentés d’agir contre les intérêts de leur employeur pour améliorer leur situation financière.

Selon la dernière étude de KPMG « Data Loss Barometer », l’analyse d’une centaine de vols de données dus à des employés a permis de déterminer que dans la majorité des cas (90% des cas) l’employé agissait seul, utilisant principalement l’e-mail (46%) ou les impressions papiers (22%) pour voler des données relatives à la clientèle de l’employeur (75%).

Il apparaît donc que le scénario d’un vol de données est aussi simple qu’il est difficile à éviter pour l’entreprise. Néanmoins, le risque peut être réduit.

Protéger la réputation de son entreprise


Pour les entreprises, il est essentiel que les risques pour la sécurité de ses données soient identifiés et évalués régulièrement pour s’assurer de leur gestion efficace et effective. En complément des contrôles liés aux technologies de l’information et à la gestion de la fraude, il appartient aussi à l’employeur d’évaluer la capacité de ses propres ressources à maintenir un haut niveau de professionnalisme et de loyauté. L’entreprise doit en effet promouvoir un climat dans lequel l’employé a pris conscience de l’importance de la protection des données de l’entreprise pour son propre intérêt, et dans lequel les attentes en termes d’éthique et d’intégrité ont été discutées et comprises.

Chaque entreprise doit finalement avoir préparé l’éventualité que tous les efforts fournis n’auront pas été suffisants pour empêcher un vol de données. Une entreprise qui n’a pas prédéterminé sa réponse à un vol de données encourt le risque que sa pérennité à moyen et long terme soit remise en cause. A ce titre, un plan de gestion de crise approprié à l’entreprise permettra de minimiser l’impact d’un vol.

Pour les entreprises luxembourgeoises, beaucoup a donc déjà été fait, mais il reste encore probablement beaucoup à faire.

Par Michael Hofmann, Partner, et Mathieu Rinck, Assistant Manager
de KPMG IT Advisory.