DataDome

Fuites de données et usurpation de comptes : votre entreprise survivrait-elle aux conséquences financières et juridiques ?

Table des matières
Credential stuffing
21 Sep, 2020
|
min

Si la plupart des entreprises ont parfaitement conscience qu’elles ont tout intérêt à protéger les données personnelles dont elles ont la charge, bon nombre d’entre elles sous-estiment amplement les conséquences en cas de perte de ces informations.

Une fuite n’est pas seulement un événement malheureux qui entraîne quelques jours de relations publiques défavorables, le départ de quelques clients, et peut-être un rappel à l’ordre des autorités de régulation. En réalité, la perte de contrôle de vos données ou de vos comptes d’utilisateur peut constituer une menace sur l’existence même de votre entreprise.

Par ailleurs, une importante fuite de données peut également se transformer en une véritable calamité professionnelle. Un rapport d’IBM réalisé en 2020 révèle que pour 46 % des personnes interrogées, « le CISO/CSO est tenu pour responsable de la violation, alors que seulement 27 % des répondants considèrent le CISO/CSO comme le décideur en matière de politiques de sécurité et de technologie ».

Parmi les conséquences financières et juridiques les plus importantes causées par les fuites de données et les prises de contrôle de comptes, citons :

  • Pénalités au regard des réglementations RGPD et CCPA
  • Frais de résolution de litige
  • Préjudice en termes de réputation
  • Atteinte à la propriété intellectuelle

Fort heureusement, bon nombre de ces risques peuvent être considérablement réduits, voire éliminés, en mettant en œuvre un système de protection solide contre les robots logiciels malveillants. Ces agents automatisés sont en effet responsables de la plupart des menaces les plus graves pour la sécurité auxquelles sont aujourd’hui confrontées les entreprises du Net.

Examinons de plus près chacun des dangers énumérés ci-dessus et ce que vous pouvez faire pour protéger votre entreprise (et votre carrière) contre les fuites de données.

Pénalités au regard des réglementations RGPD et CCPA

Si vous exercez votre activité dans un pays du monde occidental, il est presque certain que les données et la confidentialité des consommateurs sont protégées par un cadre juridique auquel vous êtes assujetti.

Le RGPD (Règlement général sur la protection des données) couvre les régions de l’UE et de l’EEE, tandis que la loi CCPA (California Consumer Privacy Act) s’applique aux entreprises dont les revenus sont supérieurs à 25 millions de dollars et qui desservent les résidents de Californie, ainsi qu’aux entreprises de toute taille qui achètent, reçoivent ou revendent les informations personnelles d’au moins 50 000 consommateurs, ménages ou appareils.

Le non-respect des réglementations RGPD ou CCPA peut être sanctionné par de lourdes pénalités. Dans les cas d’infraction les plus graves, les autorités de surveillance du RGPD peuvent vous infliger une amende de 20 millions d’euros, ou jusqu’à 4 % du chiffre d’affaires annuel mondial de votre dernier exercice, selon la valeur la plus élevée. Notez qu’il s’agit bien ici du chiffre d’affaires, et non des bénéfices.

Quant à une violation de la loi CCPA, elle peut vous coûter jusqu’à 7 500 dollars par dossier concerné. À supposer que vous égariez les données de 500 000 personnes, comme cela est arrivé à la compagnie British Airways en 2018, vous encourez une amende de plus d’un milliard de dollars. Quelle somme êtes-vous disposé à perdre ?

Bien que le blocage des robots malveillants ne permette pas d’assurer votre conformité à 100 %, il élimine certaines des menaces les plus critiques pour les données sensibles dont vous êtes le détenteur.

Avec l’introduction de notre Marketplace, il est devenu important de sécuriser les données personnelles de nos utilisateurs. Nous gérons désormais les données de connexion et les informations sur ce que les gens achètent et, pour nous conformer au RGPD, nous devons protéger ces données. DataDome ne peut pas empêcher un humain de tenter de les forcer, mais nous n’avons plus à nous inquiéter des pirates qui lancent des robots pour tenter de dérober les mots de passe ».
Paulo Pimenta, fondateur et Président-directeur général de KuantoKusta

Lire la suite

Frais de résolution de litige

Que vous soyez reconnu coupable ou non de non-conformité à la réglementation RGPD ou CCPA, il est possible que les conséquences juridiques (et le coût) d’une violation des données ne s’arrêtent pas là.

En 2017, des pirates informatiques ont dérobé les données personnelles de près de 150 millions de clients américains auprès de la société d’évaluation Equifax. Au total, un an plus tard, les consommateurs avaient déposé 36 045 plaintes. Parmi les personnes interrogées qui ont eu vent de la fuite de données, 46,23 % ont déclaré qu’Equifax aurait dû perdre son habilitation d’agence de crédit, ce qui aurait effectivement contraint l’entreprise à mettre la clé sous la porte. Le traitement de ces plaintes coûtera facilement à Equifax plusieurs milliers d’heures-homme, sans compter les amendes que la société a déjà dû acquitter.

Du reste, il n’est même pas nécessaire d’attendre de vous retrouver face à des plaintes individuelles par milliers. Un flux incessant de procès individuels liés à la confidentialité des données pèse sur les ressources de votre entreprise et, très probablement, sur votre équilibre psychologique. Et cela se vérifie tout particulièrement si vous faites appel d’une décision.

Les frais de justice ne font souvent l’objet que d’une estimation annexe dans l’évaluation globale des risques, mais ils peuvent facilement se transformer en un fardeau financier dont vous vous passerez bien.

Préjudice en termes de réputation

Si des robots malveillants parviennent à accéder aux données personnelles que vous détenez, les sanctions légales ne représentent qu’une partie de vos soucis, car de nombreux autres types de dommages potentiels vous guettent. La perte de réputation et donc, de revenus futurs, en fait partie à plus d’un titre.

Après une importante fuite de données, ou la réussite d’une attaque par usurpation de comptes, les consommateurs ne vous feront plus confiance et vous seriez bien mal-aisé de leur en vouloir. Imaginez un client insouciant qui découvre soudainement des annulations de compte, un vol d’identité ou des transactions frauduleuses par carte de crédit après une violation de données perpétrée contre votre entreprise. Il sera alors extrêmement difficile, voire impossible, de rétablir la confiance avec cette personne.

Ce préjudice est infiniment plus important pour les entreprises dont le modèle économique repose intégralement sur la notion de confiance. Ashley Madison est un service de rencontres destiné aux personnes mariées ou déjà en relation, dont le slogan est : « La vie est courte, ayez une liaison amoureuse ». Après avoir accédé à la base de données des utilisateurs en 2015, les pirates ont jeté en pâture les noms, adresses physiques, préférences sexuelles et données de carte de crédit de quelque 32 millions d’utilisateurs d’Ashley Madison sur le Dark Web, au vu et au su de tout le monde. La réputation de la marque s’est effondrée et son site Web a perdu 80 % de son trafic. Aïe…

Atteinte à la propriété intellectuelle

Un quatrième type de perte de données fort coûteux est le vol de propriété intellectuelle. Bien que le scraping de contenu des sites Web (le « scraping ») ne soit pas considéré comme une faille, dans la mesure où les données recueillies sont généralement accessibles au public, cela n’en demeure pas moins une forme de fuite de données pouvant avoir de graves conséquences financières.

La société SGBD (Saint-Gobain Distribution Bâtiment) est le premier distributeur de matériaux de construction français. L’entreprise commercialise, par le biais de ses multiples boutiques en ligne, des produits issus d’une grande variété de fabricants. Étant donné que de nombreux fournisseurs délivrent des données et des documentations incomplètes sur leurs produits, SGDB a mis en place une équipe interne chargée de compléter et améliorer les catalogues des fournisseurs.

La capacité à fournir aux clients les données de produit les plus complètes est un avantage concurrentiel important pour SGDB, mais la société a découvert que des robots de scraping collectaient ses données et les publiaient sur des sites Web concurrents.

Ce vol de propriété intellectuelle représentait pour l’entreprise un risque réel. Pour y mettre un terme, SGDB a choisi de déployer la solution DataDome, qui bloque automatiquement les robots de scraping indésirables. Parallèlement, cette action a eu pour effet secondaire de réduire de 12 % le trafic total et les coûts d’exploitation annexes, en faisant ainsi bénéficier SGDB d’un retour sur investissement immédiat.

Lire l’étude de cas

Empêchez les fuites de données robotisées et protégez vos données sensibles

Des amendes réglementaires se chiffrant facilement en millions d’euros, des litiges coûteux avec les consommateurs, la perte instantanée d’une réputation durement acquise ou d’une propriété intellectuelle précieuse, voire pire encore… Les conséquences financières et légales des fuites de données ont véritablement de quoi donner le tournis. Comment vous protéger de manière adéquate et éviter les fuites de données ?

Une solution de protection anti-bots y contribuera grandement. Un système qui vous protège en temps réel des attaques par usurpation des informations d’identification les plus agressives et les plus sophistiquées. Un système qui fonctionne avec votre infrastructure technologique existante et est installable en moins de cinq minutes. En d’autres termes, le logiciel de protection anti-bots DataDome.

Les risques de fuites de données dévastatrices sont aussi réels que pressants. Ne tombez pas dans l’erreur consistant à croire qu’ils concernent seulement les grands conglomérats multinationaux. Les entreprises de toutes les tailles sont exposées à ces risques. Tout ira bien, jusqu’à ce que soudainement tout aille mal. Essayez DataDome gratuitement pendant 30 jours pour comprendre la menace qui pèse sur vous.

Articles liés