Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO
Home > Blog Sécurité et Conformité > Gestion des risques liés à la cybersécurité > Livraison erronée : la menace de sécurité des données trop souvent négligée
Livraison erronée : la menace de sécurité des données trop souvent négligée

Livraison erronée : la menace de sécurité des données trop souvent négligée

par Robert Dougherty updated janvier 5, 2023 Gestion des risques liés à la cybersécurité
temps de lecture: 6 minutes

D’après le Verizon Data Breach Investigations Report 2022 (DBIR), 22 % des incidents de sécurité étudiés en 2021 ont abouti à une violation de données. L’une des violations de données les plus fréquentes mentionnées dans cette étude est la « livraison erronée », ou « misdelivery ». Une livraison erronée se produit lorsqu’un utilisateur envoie de façon involontaire des informations personnelles identifiables (PII) ou des informations médicales protégées (PHI) au mauvais destinataire, par e-mail ou par un autre canal de communication.

Les livraisons erronées ont provoqué 715 incidents, dont 708 ont entraîné une violation des données. Autrement dit, 13,5 % de toutes les violations de données sont dues à l’envoi accidentel d’informations sensibles au mauvais destinataire !

Qu’est-ce qu’une livraison erronée ?

Disons-le clairement, la livraison erronée est une violation de données. L’absence de malveillance est sans importance ; une fois que des informations sensibles ont été transmises à un destinataire non autorisé, le mal est fait. Malheureusement, avec la généralisation du télétravail, le risque d’erreur de livraison n’a jamais été aussi élevé. Pourquoi ?

Premièrement, les salariés se trouvent rarement dans le même bureau en même temps, et doivent donc échanger par e-mail et avec des outils collaboratifs. Deuxièmement, beaucoup de collaborateurs sont submergés par les notifications. Entre Teams, Slack, les e-mails et les SMS, il suffit d’un rien pour partager accidentellement des données avec la mauvaise personne.

Cela vous est sûrement déjà arrivé

Certains secteurs d’activité sont plus exposés que d’autres aux erreurs de livraison. Les salariés du secteur financier, par exemple, sont trois fois plus susceptibles de partager des informations sensibles par inadvertance, selon le rapport DBIR de Verizon 2022.

Les établissements de services financiers, et de manière plus générale les entreprises de services, ont des bases clients importantes et donc des échanges fréquents avec leurs clients. Il n’est pas rare qu’un chargé de clientèle ou qu’un consultant envoie une centaine d’e-mails par jour à ses clients, collègues et partenaires.

% de livraisons erronées dans les violation de donées

Bien que le secteur de la santé soit en tête pour les incidents liés à des livraisons erronées en 2021, le nombre global de ces incidents a en réalité diminué par rapport aux années précédentes. Dans les autres secteurs, en revanche, les livraisons erronées sont en augmentation sur la même période.

Soucieux de délivrer un service client exemplaire, il arrive que les salariés envoient dans la précipitation des informations confidentielles et sensibles à la mauvaise personne, par e-mail ou via des dossiers partagés. Le cache et le remplissage automatique des champs dans les e-mails aggravent fortement les risques d’erreurs de livraison.

Imaginons un collaborateur qui souhaite envoyer un contrat à Jan Vincent. En saisissant « Jan » dans la case « À » d’un e-mail ou « Partager avec » d’une application de partage de fichiers, la case va se remplir automatiquement avec Jan Valentino. Les noms sont si proches qu’il est facile de ne pas faire attention ; facile, mais coûteux.

Lorsqu’une livraison erronée de données sensibles survient, elle aboutit souvent à une violation de données. Cette violation de données peut coûter à une organisation des millions en pertes de chiffre d’affaires et en procédures judiciaires. Ou pire encore, entraîner la perte de clients et la dégradation de l’image de marque.

Bonnes pratiques pour limiter le risque de livraison erronée

En appliquant les mesures et solutions suivantes, il est possible de réduire le risque de violation de données liée à une erreur de livraison :

Revoir la politique de sécurité de l’entreprise

Toute politique de sécurité devrait indiquer clairement comment manipuler des données critiques, qui est autorisé à y accéder et comment les partager avec l’extérieur (si et quand cela est nécessaire).

L’utilisation d’une solution de prévention des pertes de données (DLP), par exemple, est primordiale. Le DLP tient compte de la technologie, mais aussi des politiques et des procédures pour aider à prévenir les fuites de données, y compris les erreurs de livraison. Il permet aux organisations de réduire les risques internes comme le vol et le sabotage. Il facilite aussi la surveillance des mouvements de fichiers sensibles et démontre la conformité réglementaire des organisations.

Mac Shares Sensitive Competitive Analysis with a Prospective Employer

Appliquer le principe du moindre privilège

La sécurité zéro trust est une approche très efficace pour concevoir, gérer et exploiter un système informatique en vue de protéger les contenus sensibles contre les accès non autorisés.

La sécurité zéro trust est une approche de conception qui exige que les utilisateurs d’un système soient chaque fois authentifiés, autorisés ou confirmés avant d’accéder à un système qui contient ou gère des informations sensibles. L’accès est limité et octroyé au cas par cas. La sécurité zéro trust atténue considérablement le risque d’accès non autorisé aux PII, PHI ou à la propriété intellectuelle (IP) d’une organisation.

Former vos équipes

La technologie évolue constamment. Hélas, la cybercriminalité aussi. Les organisations et leur personnel doivent par conséquent rester informés des avancées dans ces deux sphères pour rester bien positionnées et protéger leur propriété intellectuelle.

Les hommes ne devraient pas être le point faible de la protection des données. C’est pourquoi en formant régulièrement vos collaborateurs, vous les familiariserez avec l’évolution des systèmes de stockage et de transfert de fichiers. L’idée étant toujours de prévenir les risques d’accès non autorisés, comme les livraisons erronées qui peuvent entraîner une fuite de données.

Adopter le transfert de fichiers géré

Le transfert de fichiers géré (MFT) regroupe en une seule plateforme un grand nombre de fonctionnalités d’autres systèmes de partage de fichiers. Il permet de partager des documents de manière efficace et sécurisée, conformément à la législation en vigueur, au sein d’une organisation ou entre plusieurs entités.

De plus, les plateformes MFT sont conçues pour assurer le respect des réglementations applicables. Citons par notamment la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), le règlement général sur la protection des données (GDPR), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et la loi Gramm-Leach-Bliley (GLBA). Les entreprises qui automatisent leurs transferts de fichiers minimisent le risque d’erreurs humaines, et donc de livraisons erronées, évitant des violations de données.

Discover How to Address the Biggest Gap in Your Zero-trust Security Strategy

Prévenir les fuites de données liées à des livraisons erronées grâce à Kiteworks

Les entreprises atténuent le risque de livraison erronée en partageant des informations PII, PHI, IP ou autres données sensibles via le Réseau de contenu privé (PCN) de Kiteworks.

Dans le cas où un collaborateur enverrait par inadvertance un fichier à Bill Smith plutôt qu’à Bill Smithers par la messagerie sécurisée Kiteworks, il pourrait annuler son dernier envoi avant que Bill Smith ne l’ouvre. Et dans le cas où plusieurs fichiers auraient été envoyés, le collaborateur pourra choisir quels fichiers il souhaite supprimer.

Kiteworks - Send Secure Emails

Si un collaborateur envoie par inadvertance des fichiers au mauvais destinataire en utilisant Kiteworks, il pourra retirer et supprimer le fichier en question en quelques clics. (source : Kiteworks)

Kiteworks Secure Email Removal

L’utilisateur Kiteworks est ensuite invité à valider la suppression du fichier. (source : Kiteworks)

Le partage de fichiers sécurisé de Kiteworks permet également aux utilisateurs de définir et de modifier les accès aux contenus sensibles. Si un collaborateur invite Michael Johnson au lieu de Michelle Johnson à accéder à un dossier contenant des informations sensibles sur une fusion en cours, il pourra révoquer les autorisations de Michael.

Conclusions

Le PCN de Kiteworks protège les contenus les plus sensibles de votre entreprise pour chaque partage en externe, même dans le cas où un collaborateur enverrait ces informations au mauvais destinataire. La suppression des fichiers ou des destinataires d’un e-mail sécurisé ou d’un partage de fichiers sécurisé, garantissent que les PII, PHI et IP restent bien confidentielles.

Avec Kiteworks, vous pouvez :

  • Centraliser les canaux de communication de contenu sécurisés tels que la messagerie électronique, le partage de fichiers, SFTP, MFT et les formulaires Web. Cette solution comprend l’extension native des clients de messagerie habituels, pour faciliter l’expérience utilisateur et protéger chaque e-mail contenant du contenu sensible.
  • Contrôler le contenu, les métadonnées, l’activité des utilisateurs et les événements système pour améliorer l’efficacité des centres d’opérations de sécurité (SOC). Générer l’historique des accès externes et se conformer aux exigences réglementaires.
  • Contrôler les accès et les règles fonctionnelles en fonction des profils de risque et des rôles utilisateurs. S’appuyer sur la gestion centralisée pour protéger les contenus des e-mails, formulaires Web, MFT et partages de fichiers sécurisés. Cette centralisation vous assure une meilleure gouvernance et une mise en conformité avec les audits internes et externes.
  • Protéger les données grâce au chiffrement au repos et en transit, l’authentification unique (SSO), l’authentification multifactorielle (MFA), l’antivirus (AV), la protection contre les menaces avancées (ATP) et la prévention des pertes de données (DLP). L’ensemble de ces mesures permet de réduire le risque d’exposition involontaire d’informations sensibles telles que les livraisons erronées.

Ressources complémentaires

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Partagez
Tweetez
Partagez
Get A Demo