Cybercriminalité et vol de données personnelles en Russie : ce qu’il faut savoir

Bien que la sécurité des données personnelles des citoyens russes soit régie par la législation fédérale, le volume des informations vendues sur le marché noir en Russie représente 30 millions de roubles et un Russe sur dix est un jour victime de hackers. Tels sont les résultats de l’étude Le marché noir des bases de données, menée par le Centre analytique MFI Soft en novembre 2016. Dans ces conditions, comment protéger les données personnelles des clients et des employés d’une entreprise en Russie ? L’économika du Courrier de Russie a enquêté.

cybercriminalité russie
Les bases de données clients se vendent en moyenne 15 000 roubles pièce sur le marché noir en Russie. Crédits : Pixabay

Pierres d’achoppement

Actuellement, il n’existe aucune définition précise du concept de « données personnelles ». Celles-ci englobent toute information relative à une personne physique : nom et prénom, date de naissance, adresse, situation familiale et sociale, éducation, montant des revenus, etc. Les experts distinguent habituellement trois catégories de données personnelles : accessibles à tous, biométriques et spéciales.

Alors que les premières sont faciles à obtenir depuis des sources ouvertes telles que les réseaux sociaux, les deuxièmes permettent d’établir l’identité d’une personne sur la base de ses particularités biologiques et physiologiques : taille, poids, empreintes digitales, groupe sanguin, résultats d’analyses médicales, etc. Les données spéciales, enfin, désignent les informations relatives à l’origine ethnique, la nationalité, les convictions religieuses et politiques, la vie intime et l’état de santé. L’homme moderne distribue généreusement ses données personnelles : lors de l’achat d’un billet d’avion sur Internet, en s’abonnant à une liste de diffusion ou en s’inscrivant à un événement, par exemple.

Ce flux d’informations devient de plus en plus difficile à contrôler. Pour pouvoir le gérer, les entreprises peuvent introduire des services spécifiques et des systèmes de GRC (gestion de la relation client). Mais, en raison de failles de sécurité, ces volumes importants de données se retrouvent souvent aux mains de malfaiteurs, l’ampleur d’un cybercrime pouvant aller d’un simple spam inoffensif au vol de montants considérables. Voilà pourquoi il vaut mieux éviter de laisser ses données personnelles sur des sites internet librement accessibles ou suspects : un questionnaire ou un jeu en apparence anodins peuvent être des pièges tendus par des cybercriminels.

Il convient également de veiller à utiliser des mots de passe sécurisés lors de la création d’un compte sur un réseau social ou un service de messagerie. Il est en outre déconseillé d’enregistrer son nom et ses coordonnées (notamment bancaires) sur son navigateur. À l’instar des personnes physiques, les entreprises sont également régulièrement la cible des hackers. Seulement, pour elles, les répercussions sont plus lourdes : le vol des données personnelles des employés est synonyme d’une intrusion dans l’ensemble du système. Les bases de données clients, quant à elles, se vendent en moyenne 15 000 roubles pièce sur le marché noir. L’une et l’autre conséquences nuisent à la réputation et à l’activité commerciale de l’entreprise.

Normes législatives

Thème on ne peut plus actuel, la sécurité des données personnelles est réglementée au niveau de l’État. En Russie, ces données sont, à l’instar de la vie privée, protégées par la Constitution, les Codes civil et du travail, la loi fédérale n°149-FZ du 27 juillet 2006 « Sur l’information, les technologies de l’information et la protection de l’information » et la loi fédérale n°152-FZ du 27 juillet 2006 « Sur les données personnelles ».

Toutefois, au cours des deux dernières années, de nouvelles mesures législatives sont devenues nécessaires pour protéger les données personnelles des internautes. Ainsi, le 1er septembre 2015, une disposition prévue par la loi n°242-FZ a pris effet, qui contraint toutes les personnes physiques ou morales gérant des données personnelles à traiter et conserver celles des citoyens russes uniquement sur le territoire de la Fédération de Russie.

Néanmoins, presque tout un chacun est concerné par ces exigences sécuritaires. Les systèmes de données personnelles incluent non seulement les bases des boutiques et des services en ligne mais également les systèmes comptables et de gestion des ressources humaines, les centres d’appel et même les systèmes automatisés des bureaux des laissez-passer, présents dans quasiment toutes les entreprises. Si un contrôle effectué par Roskomnadzor, l’agence fédérale chargée de la surveillance des moyens de communication, fait apparaître des violations, la responsabilité de l’entreprise et de ses dirigeants est engagée en vertu des articles « Violation des modalités prévues par la loi relatives à la collecte, la conservation, l’utilisation et la diffusion d’informations sur les citoyens (données personnelles) », « Violation des règles de protection de l’information » et « Activité illégale dans le domaine de la protection de l’information ».

tableau sanction cybercriminalité russie

Le débat sur la protection des données personnelles a été relancé en été 2016, lorsque le président Vladimir Poutine a signé une série d’amendements législatifs antiterroristes, surnommés par les médias « paquet Iarovaïa », du nom de famille de l’auteur du document. Conformément à la nouvelle législation, les opérateurs de télécommunications doivent conserver tous les enregistrements des appels et des messages échangés entre les utilisateurs pendant six mois, et les informations sur les communications pendant trois ans.

En outre, début 2017, la Douma d’État a augmenté le montant de l’amende pour violation de la loi n°152-FZ sur la collecte, le traitement et la conservation des données personnelles. Selon les amendements adoptés, trois jours sont désormais impartis à l’élimination des violations. Tout manquement est passible de sanctions : amendes pouvant atteindre les 300 000 roubles, confiscation des moyens de protection non certifiés ou sommation de cesser le traitement des données personnelles.

Dans tous les cas, l’entreprise s’expose à des frais considérables. Selon Alexeï Ponomarev, juriste au collège d’avocats Novy Arbat, l’adoption de la loi n°152-FZ sur la conservation et le traitement des données personnelles et le durcissement de la responsabilité pour non-respect de celle-ci sont des mesures nécessaires. « Il s’agit bien entendu des maillons d’une seule chaîne : le renforcement du contrôle sur Internet. Mais l’anarchie qui régnait sur l’Internet russe devait un jour s’achever. Pour la sphère IT, cela signifie des dépenses supplémentaires mais aussi une entrée sur le marché plus coûteuse pour les nouvelles entreprises. Néanmoins, dans la majorité des pays, ces lois ont été adoptées il y a longtemps et sont considérées comme la norme », commente le spécialiste.

Maxime Lagoutine, fondateur et expert en protection des données personnelles de l’entreprise B-152, qui aide les sociétés à remplir les documents juridiques relatifs aux données personnelles, estime pour sa part que la législation russe a ses spécificités en matière de protection des données personnelles. « À l’étranger, on inflige des amendes pour une fuite d’informations, tandis qu’en Russie on punit l’absence de consentement des personnes physiques pour le traitement de leurs données, la non-adéquation entre ce consentement et les objectifs poursuivis, autrement dit l’absence de documents et non le respect des droits de la personne », explique l’expert.

À l’en croire, alors qu’auparavant certaines entreprises faisaient fi de la loi car il était plus simple pour elles de payer une amende que de se conformer aux exigences, le durcissement récent des sanctions oblige les personnes morales à se montrer plus responsables. « Respecter la loi n’exige pas de grands investissements, c’est avant tout une question de coordination et de discipline. J’espère qu’avec le temps toutes les entreprises disposeront d’une procédure d’autorégulation ou qu’elles introduiront un système d’audit régulier dans ce domaine », ajoute le fondateur de B-152.

Des moyens de protection modernes

hacker russie
Malgré l’existence de technologies permettant de déjouer les ruses des cybercriminels, aucun code ne peut prémunir contre le facteur humain. Crédits : Pixabay

Toutefois, assurer la sécurité des données personnelles comme l’exige la loi n’est pas aussi simple : on peut rapidement se perdre face à la multitude de moyens de protection et de documents nécessaires. « Dans ce domaine, la législation russe n’est pas encore complètement au point. Par exemple, des données personnelles communiquées séparément cessent d’être personnelles : un numéro de téléphone donné seul n’est qu’un ensemble de chiffres, tandis qu’un numéro de téléphone accompagné d’un nom et d’un prénom constitue une donnée personnelle. Une page sur un réseau social n’est pas une donnée personnelle mais si un numéro de téléphone y est indiqué, elle se retrouve immédiatement sous le coup de la loi, même s’il s’agit d’un faux compte. Par ailleurs, les données personnelles ne peuvent pas être conservées à l’étranger, mais leur sauvegarde oui », précise Ilia Iachine, fondateur du systémier Jack-IT.

En outre, les cybercriminels s’efforcent toujours d’avoir une longueur d’avance sur les systèmes de sécurité. Par conséquent, les méthodes de protection formelles – du transfert des informations sur un serveur russe à l’installation d’un antivirus – peuvent ne pas fonctionner. La protection des données personnelles exige donc une approche intégrée : à la fois technique et organisationnelle. S’il n’existe pas de méthode de protection universelle, certaines technologies permettent néanmoins de protéger les informations de n’importe quelle entreprise. Par exemple, l’identification biométrique. Le principe est simple : l’accès aux infrastructures se fait par lecture des empreintes digitales, scan de la rétine ou reconnaissance vocale. L’essentiel est que le système ne conserve pas ces données biométriques mais les crypte. Ces technologies fonctionnent aussi bien quand il est nécessaire de limiter l’accès des employés aux bureaux, aux ordinateurs et à certains fichiers que quand l’utilisateur se connecte à son compte personnel via une application mobile – après le scan de son empreinte digitale.

Un autre moyen de protection est la migration de toutes les informations vers le cloud. L’accès aux données se fait alors uniquement via des canaux sécurisés et chaque employé possède sa propre clé d’accès. En outre, les faits et gestes de tous les employés peuvent être contrôlés en temps réel : qui fait quoi à quel moment, qui a quitté son ordinateur, qui télécharge des fichiers suspects, etc. De plus, rien n’est conservé sur les ordinateurs, de sorte que même si des malfaiteurs volent du matériel, ils n’en extrairont aucune donnée. Pour sécuriser les boutiques en ligne et les sites, il est possible de recourir à des services qui contrôlent le trafic, préviennent les attaques DDoS, prévoient d’éventuelles intrusions et signalent les activités suspectes. Un programme spécial fournit des informations sur le nombre de visites et d’utilisateurs uniques, la durée moyenne passée sur une page, etc.

Si ces indicateurs s’éloignent subitement de la norme ou si quelqu’un se met à adopter un comportement suspect sur le site, le programme envoie immédiatement un message d’avertissement au propriétaire du site. « Grâce à l’historique de comportement des utilisateurs, nous prédisons les valeurs attendues. Si notre pronostic ne coïncide pas avec la valeur réelle, l’utilisateur du programme en reçoit aussitôt la notification », explique Pavel Tiounov, cofondateur de l’entreprise Statsbot.

Toutefois, malgré l’existence de technologies permettant de déjouer les ruses des cybercriminels, aucun code ne peut prémunir contre le facteur humain. Selon une étude menée par l’entreprise MFI Soft, conceptrice de systèmes de sécurité de l’information, les bases de données peuvent se retrouver sur le marché noir de quatre façons différentes. Sachant que l’obtention de données personnelles à la suite d’une intrusion (2 %) ou à partir de sources non sécurisées (7 %) n’est pas la plus fréquente. Les principaux responsables de fuites de données restent en effet les employés peu scrupuleux : les sources internes malintentionnées sont à l’origine de 78 % des fuites, tandis que les 13 % restants proviennent de la diffusion ciblée des données clients à des fi ns commerciales.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *