Les fuites de données se multiplient. Alors que les cyberattaques explosent dans le monde, et particulièrement en France, trop d’entreprises négligent encore d’investir dans leur cybersécurité, nous explique le patron de Surfshark, Vytautas Kaziukonis. L’entrepreneur lituanien estime par ailleurs qu’il faut mettre en place des sanctions pour lourdes pour pousser les entreprises gourmandes en données personnelles à se protéger contre les intrusions.
Depuis environ deux ans, la France est le théâtre d’une explosion des fuites de données. Des dizaines d’entités ont été compromises par des cybercriminels, que ce soit des entreprises réputées, des petites PME ou des organismes publics. On se souviendra notamment du piratage de France Travail, d’Orange, de Free, de Bouygues Telecom encore de la Caisse d’Allocations familiales. Au terme de ces diverses attaques, ce sont les données de dizaines de millions de Français qui se sont retrouvées sur le dark web, à la portée de n’importe quel cybercriminel. On estime que les données de 80 % des Français ont été compromises.
Pour tenter de comprendre les causes de cette explosion des violations, nous avons interrogé Vytautas Kaziukonis, le PDG de Surfshark. Créée en juillet 2018, l’entreprise lituanienne offre une suite complète d’outils de sécurité destinés à protéger les internautes contre les menaces en ligne, à commencer par un VPN, un moteur de recherche privé et un antivirus.
Nous avons eu l’occasion de discuter avec le dirigeant de la licorne à domicile, dans les locaux de Surfshark. La start-up, qui a fusionné avec Nord Security, l’éditeur de NordVPN en 2022, est implantée au cœur de la Cyber City de Vilnius, le pôle de la tech lituanienne.
Un manque d’investissement dans la sécuritéInterrogé par 01net, Vytautas Kaziukonis pointe d’abord du doigt le manque criant d’investissement dans la cybersécurité. En dépit de l’augmentation des cyberattaques et de la dangerosité des malwares, trop d’entreprises négligent d’injecter des fonds dans des mesures de protection efficaces.
« C’est un problème compliqué, mais je pense que les entreprises, dans l’ensemble, ne comprennent toujours pas bien et n’investissent pas assez dans leur sécurité. Les fuites de données en sont la conséquence », nous explique Vytautas Kaziukonis
C’est également le cas des entités publiques, comme des collectivités. En France, près de trois quarts des petites et moyennes collectivités dépensent moins de 5 000 euros par an en informatique. Pour la cybersécurité, 8 sur 10 n’y consacrent pas plus de 2 000 euros. Ce budget rachitique n’est pas étranger à la hausse des vols de données.
« Il y a un sous-investissement en cybersécurité. Et la France n’est pas différente des autres pays. […] C’est un énorme problème, qu’on observe partout, secteur public comme privé », regrette Vytautas Kaziukonis.
Le paradoxe des entreprises et de la sécurité
Par ailleurs, le patron de Surfshark rappelle que « la collecte et l’exploitation des données pour la business intelligence » (analyse des données pour orienter la stratégie) sont « devenues la norme ». La récupération d’informations est « un moteur économique » majeure.
En clair, de nombreuses entreprises se servent des données personnelles de leurs utilisateurs pour s’améliorer et gagner encore plus d’argent. De facto, elles se mettent à accumuler de plus en plus d’informations. En parallèle, elles négligent d’investir assez de fonds dans la sécurité des données, ce qui aboutit à des attaques avec fuites d’informations. C’est de ce paradoxe que résulte la hausse des fuites de données de ces derniéres années.
Le cas des data brokers
Le PDG cite le cas des data brokers, ou courtiers en données. Ces entreprises collectent massivement des informations personnelles, en provenance de sources variées, pour les revendre à d’autres organisations. Elles sont capables de mettre sur pied des profils détaillés de consommation pour chaque internaute et représentent un enjeu majeur en matière de confidentialité.
Mais, malheureusement, « les gens ignorent même que les data brokers existent, et qu’ils achètent, croisent et revendent leurs données », regrette le PDG de Surfshark. Il devrait « y avoir plus de transparence sur la façon dont les courtiers utilisent les données ». Beaucoup « de choses se passent en coulisses, sans que les gens le sachent ni qu’ils aient donné leur consentement », estime le créateur de Surfshark.
Consciente du problème, la start-up lituanienne a lancé une arme de taille pour endiguer l’action des data brokers : Incogni. Ce service aide les internautes à limiter l’exposition et la revente de leurs données personnelles sur Internet. L’outil peut surtout réclamer la suppression de données recueillies sans l’accord de la personne concernée.
La collecte de données, c’est lucratif pour tout le monde
Enfin, Vytautas Kaziukonis souligne que les données personnelles sont précieuses pour tous les cybercriminels. En se servant des informations compromises par leurs soins, ou par des pairs, les escrocs peuvent concevoir des arnaques convaincantes ou tenter d’usurper votre identité. Le vol de données sert donc à alimenter des escroqueries qui vont permettre aux pirates de dégager des bénéfices.
Les données, c’est « le nouveau pétrole », et elles attirent à la fois les entreprises ou les criminels, nous explique le patron de Surfshark. C’est pourquoi ils vont tous inlassablement continuer de tenter de soutirer des données aux internautes, que ce soit légalement ou illégalement.
Serrer la vis
Pour lutter contre le fléau des violations de données, Vytautas Kaziukonis préconise aux gouvernements de se montrer plus durs et plus sévères avec les entreprises qui font preuve de négligence. Selon lui, « les entreprises devraient être tenues beaucoup plus responsables des fuites qu’elles subissent », y compris quand il s’agit d’institutions.
Afin de tenir les entreprises plus responsables des données en leur possession, il faudrait envisager des sanctions plus dures, comme des amendes plus élevées, poursuit notre interlocuteur. Kaziukonis explique plaider pour « un barème progressif », qui prévoit des amendes de plus en plus salées en fonction de la fuite et de la victime.
Comme le souligne l’entrepreneur, « personne n’a trouvé mieux que les amendes » pour lutter contre les violations de données. Mais pour que ces amendes soient efficaces, « il faut que les entreprises ressentent la douleur et se motive à évoluer ».« Si c’est une petite startup attaquée pour la première fois, ce n’est pas pareil que si c’est une grande entreprise avec de gros budgets qui néglige volontairement la sécurité. Dans ce cas, il devrait y avoir des sanctions plus lourdes. On ne peut pas toujours “frapper fort” de la même manière. Une petite entreprise peut être simplement victime. Mais globalement, il faudrait un système progressif, où les grands acteurs porteraient une plus grande responsabilité que les petits », déclare Vytautas Kaziukonis, soulignant qu’il faut que les amendes « fassent mal, sinon ça ne change rien ».
Le futur des fuites de données
Interrogé sur l’évolution des fuites de données dans les cinq années à venir, le PDG de Surfshark ne cache pas son pessimisme. À ses yeux, il ne fait aucun doute que les divulgations vont devenir « un problème encore plus grand », en partie à cause de l’intelligence artificielle. L’IA « va faciliter les escroqueries de masse à partir des données volées, sans intervention humaine », et les « cyberattaques vont se multiplier ».
merci à 01Net
