Le vol de bases de données peut cibler soit le contenu présent en base soit la base en elle-même. Dans la plupart des cas, c’est surtout les données qui sont recherchées et, par effet de bord, la structure de la base (tables, liens entre tables) est, elle aussi, dérobée.
Dans les 2 cas, il s’agit de vol d’informations. Parce que le droit a parfois du mal à suivre les évolutions technologiques, pendant longtemps, il n’y a pas eu vol lorsque le support physique n’avait pas disparu. Pourtant, aujourd’hui, tout le monde comprend bien que voler des données peut se faire sans dérober la machine qui les héberge. Un simple copier-coller de documents ne fait pas disparaître le disque dur, le stockage en ligne ou la base de données qui contenait ces données.
Depuis 2015, la jurisprudence reconnaît qu’un vol d’information peut être réalisé sans déposséder son propriétaire. Un vol d’information est la « soustraction » de données sans consentement du propriétaire. Pour être plus précis, il faut que le vol d’information soit aussi consécutif à un accès non autorisé et à l’utilisation des données récupérées. Au même moment (juillet 2015), un délit spécifique est créé pour toute extraction frauduleuse de données. Il y a désormais une différence claire entre le vol de données et le vol de matériel.
Si on veut aller plus dans les détails, il faut aussi regarder du côté de l’intention et faire la distinction entre une simple utilisation abusive de données parce que trop d’informations sont disponibles et une intention vraiment malveillante avec une intention de vol.
Pour se protéger contre le vol de données, les solutions sont juridiques et techniques et il faut trouver le bon équilibre entre sécurité et productivité. Le partage d’informations étant au cœur de la plupart des entreprises, si on empêche les employés d’échanger, le travail est moins efficace. Plus de sécurité nuit à la productivité et inversement. Exemple très simple : un employé a-t-il le droit d’utiliser son smartphone ou une clé USB perso pour accéder à des donnée de l’entreprise ?
Enfin, même si les piratages en provenance de l’extérieur sont plus impressionnants, la majorité des vols de données proviennent de l’intérieur de la structure. Soit par négligence avec les règles de sécurité informatique soit par volonté. Il faut donc être proactif, prévenir et prévoir quoi faire au cas ou quand la situation se présentera.
Boîte à outil juridiques contre le vol de données
- Loi Informatique et Libertés
- RGPD
- Secret des Affaires
- Propriété intellectuelle
- Abus de confiance
- Concurrence déloyale
Protections techniques
- Limiter l’accès aux données (extractions partielles, droits limités)
- Consigner les accès aux données (log des actions des utilisateurs)
- Limiter les possibilités d’export (via des protections logicielles et via des impossibilités matérielles)
- Masquer les données
- Caviarder les données (introduire de fausses données pour prouver la provenance des données)
Bien s’organiser contre le vol de données en interne
- Auditer ses données, les classifier selon leur criticité
- Décider qui à accès à quoi et le formaliser
- Appliquer les règles définies aux anciennes données mais aussi aux futures données
- Expliquer aux employés et utilisateurs pourquoi et comment ils sont surveillés
- Prévoir un plan d’action en cas de vol. Prévoir aussi des exercices de fuites de données
- Sensibiliser les équipes en interne
- S’équiper d’un logiciel de DLP (Data Loss Prevention)
