Le risque lié au vol de données d’employés, notamment des adresses d’entreprises et des données relatives aux employés, n’est toujours pas pris en compte par les entreprises, malgré les dommages potentiels que ces incidents pourraient causer.
Les chercheurs de la société de cybersécurité Terbium ont analysé la manière dont les entreprises abordent les risques liés à la sécurité et ont constaté que beaucoup sous-estimaient les dommages qui pouvaient être causés si les données des employés étaient volées et divulguées sur le web.
Selon son rapport Underrated Risks of Data Exposure, à peine 11% des personnes interrogées pensent que les adresses électroniques des entreprises pourraient être des cibles intéressantes, et le nombre de sondés s’inquiétant de l’exposition des numéros de sécurité sociale, les noms, les relevés d’identité bancaire ou encore les fiches de paie des employés est encore moindre.
“Les gens craignent généralement que leurs données clients soient exposées. Mais quand ils examinent les données des employés, cela ne les dérange pas”, a déclaré à ZDNet Emily Wilson, vice-présidente des recherches à Terbium Labs.
Les entreprises craignent davantage que les pirates informatiques exposent les données des clients : ce type de fuite peut créer une perte de revenus et de réputation. Mais les attaques visant uniquement les données internes de l’entreprise peuvent ouvrir la voie à une attaque future visant elle les données client. “Les données des employés de l’entreprise sont la clé de voûte de l’organisation”, a expliqué Wilson.
“Si vous avez des adresses e-mail d’employés, vous pouvez engager lancer des tentatives de phishing et de compromission des e-mails professionnels. C’est un point d’entrée dans les systèmes d’une entreprise et l’accès aux données des employés vous donne une vue d’ensemble”, a-t-elle déclaré.
Ce n’est pas comme si les données de l’entreprise n’avaient pas été volées et divulguées auparavant : des connexions à des bureaux à distance peuvent être achetées pour quelques dollars seulement. C’est un domaine qui présente un risque considérable pour les organisations. Mais ces considérations sont rarement prises en comptes lors des évaluations visant à analyser les principaux risques.
“Ils ne prennent pas de recul et ne s’inquiètent pas de la manière dont les attaquants pourraient accéder aux données des clients. Ils ne réalisent pas encore que l’exposition des données d’entreprise est la première étape qui mène à tous ces problèmes de sécurité qui inquiètent au quotidien les entreprises”, a déclaré Wilson.
“Le fait que vous n’entendiez pas vraiment parler de données d’entreprise dans les gros titres ne veut pas dire que cela ne joue pas un rôle dans les risques de fuite de données auquel vous êtes confrontés”, a poursuivi Wilson.
“Ce sont les données que nous utilisons tous les jours: ce n’est pas sexy, mais ce sont les données sur lesquelles nous comptons pour gérer nos entreprises et notre quotidien. C’est fondamental, mais les gens semblent ne pas les considérer comme des données à risque et les cybercriminels adorent ça”, a-t-elle déclaré.
Comments