Interview : « Le premier objectif de TrackUp est de détecter les fuites de données et de prévenir le propriétaire de base »

marion-duchatelet-bajeuxNous accueillons aujourd’hui Marion Duchatelet Bajeux, Directrice Marketing et Communication de Market Espace, dans les colonnes de Badsender ! Marion a accepté de venir nous parler de TrackUp, solution de tracking des bases email permettant de monitorer les fuites de données et les utilisations non-permises des bases email des entreprises (par les salariés ou les partenaires commerciaux/techniques).

L’interview

Jonathan Loriaux : L’objectif de TrackUp est d’insérer des adresses témoins (adresses pièges) dans les bases emails afin de monitorer le vol des données. Aujourd’hui, quelle est l’ampleur de la problématique pour les entreprises françaises ?

Marion Duchatelet Bajeux : L’ampleur de la problématique, on la voit tous les jours. Des articles de presse sont publiés quotidiennement dans les médias sur le piratage, le vol de données. Les bases de données des annonceurs sont régulièrement piratées. On entend beaucoup parler des vols type hacking informatique. Il s’agit d’hackers qui sont capables de s’infiltrer dans des programmes informatiques, de contourner des protections logicielles dans le but de détecter des failles informatiques.
Mais il y a d’autres types de vols de données qui se passent de manière beaucoup plus récurrente et sans même que le propriétaire de base en ait conscience. Par exemple, un collaborateur ou ex-collaborateur peut exporter l’intégralité ou une partie de la base de données de son entreprise via une simple clé USB. Un partenaire commercial, une agence ou un éditeur de base peut très bien réutiliser des données en dehors du cadre contractuel existant et en dehors du cadre légal de l’emailing fixé par la CNIL. Certains acteurs, notamment de l’emailing d’acquisition, fonctionnent avec des pratiques marketing douteuses : échanges de bases, non-respect de l’opt-in, envois massif et répété. Toutes ces mauvaises pratiques, malheureusement banalisées, aujourd’hui constituent aussi un vol de données au sens juridique du terme.

JL : Avons-nous une idée de l’impact financier du piratage et du vol de données pour les entreprises ?

MDB : A ma connaissance, nous n’avons pas de chiffre sur la partie vol de données comme je viens de le décrire plus haut. Dans toutes les études qui sont réalisées, on parle plutôt de coût lié à la cyber criminalité, l’usurpation d’identité et le phishing. Dans ce cadre, la dernière étude de CSIS (Center for strategic and international studies) de 2014, dit que le coût total monde lié à la cybercriminalité s’élève à environ 327 milliards d’euros, dont 110 milliards d’euros rien que pour les données personnelles. Une autre étude IBM/Ponemon estime le coût moyen consolidé d’un vol de données à 3,8 millions d’euros pour une entreprise.
En fait, l’impact n’est pas seulement financier. En cas de vol, des articles de presse sont publiés et créent un bad buzz autour de l’entreprise victime de piratage. Cela met donc en péril la notoriété de la marque. La satisfaction des clients diminue. Sans parler des chutes de performance business et d’un point de vue emailing, tout ce qui est dégradation de la délivrabilité et blocage des campagnes par les FAI.

JL : Au niveau de la fuite des données, est-ce que le risque se trouve principalement chez les partenaires commerciaux ou en interne ?

MDB : L’outil TrackUp existe depuis 2010. Ce que l’on voit principalement à travers l’ outil, c’est que les risques viennent principalement de l’interne. Ça équivaut à peu près à 50 % des cas identifiés. Ensuite, le deuxième risque vient des partenaires commerciaux, à peu près 35 % des cas. Ensuite 10 % des cas sont liés à un prestataire technologique.

La dernière étude de SailPoint montre qu’en France 16% des salariés serait prêt à vendre son mot de passe professionnel, moyennant une contrepartie financière.

JL : Est-ce que légalement les entreprises ont l’obligation de se prémunir contre ces fuites de données ?

MDB : La législation sur le sujet sera applicable dès 2018, elle obligera les entreprises à se prémunir contre la fuite ou le vol de données. Le nouveau règlement dit que les entreprises doivent prendre des mesures organisationnelles et techniques contre le piratage. TrackUp est donc un des outils techniques qui permet de se prémunir contre le vol de données. En cas de mise en demeure, de sanction, … la CNIL peut être plus clémente si l’entreprise est bien équipée, d’autant plus que TrackUp est certifié par officier de justice.

JL : Ce qui veut dire que les informations délivrées par l’outil sont recevables devant un tribunal ?

MDB : Exactement. La solution est soumise à un processus de certification juridique. C’est une étape qui est indispensable si l’entreprise piratée veut aller jusqu’à une action judiciaire.

JL : Dans la pratique, si je désire déployer une solution de tracking de fuite de données, comment ça se passe ?

MDB : Il y a une première étape qui consiste à identifier les bases à risques. Est-ce que votre base CRM se situe uniquement en interne ? Est-ce qu’il y a des extraits de fichiers qui sont chez des partenaires commerciaux ? Est-ce qu’il y a aussi des extraits de ma base CRM qui sont chez des prestataires techniques ? On regarde donc où se situent les données personnelles de l’entreprise et comment elles transitent par des tiers pour identifier les risques.

Ensuite, un audit des bases de données à protéger est réalisé. On regarde la profondeur de segmentation que comporte la base. L’objectif de cet audit est de voir quels types d’adresses pièges seront créés. Les profils d’adresses pièges créés sont indétectables.

L’étape suivante est de certifier les adresses auprès d’un huissier de justice et ensuite, dans la quatrième étape, de les injecter dans les bases qu’on a identifiées comme étant à risque.
Enfin, la cinquième étape, elle se fait de façon complètement automatisée et en continu. C’est la surveillance de toutes les campagnes emailing qui tombent sur ces adresses pièges. Les informations de campagnes sont remontées au propriétaire de base. Si une adresse piège reçoit un email provenant d’un expéditeur non autorisé, cela permet de conclure qu’un détournement de données s’est produit et que quelqu’un a la volonté significative d’utiliser frauduleusement les données.
Une alerte email est alors déclenchée vers le propriétaire de base pour le prévenir.

JL : Parmi les entreprises qui utilisent le système, est-ce qu’il en y a qui ont porté plainte contre des partenaires qui volaient leurs données ?

MDB : Oui, cela arrive. En guise d’exemple, on a un très grand compte dont le RSSI (Responsable de la sécurité des systèmes d’information, NDLR) a volé un fichier contenant des informations personnelles. Dans ce cas, il y a eu licenciement. Dans une autre société, un responsable informatique a inséré dans la base les données clients de son ancienne entreprise. Il y a eu licenciement et prison avec sursis. Il y a eu un autre cas où c’est un consultant qui travaillait dans une société qui a volé les adresses emails. Pour autant, toutes les fraudes détectées par TrackUp ne vont pas en justice. Elles sont réglées à l’amiable. Mais au moins, le propriétaire de base est au courant des fuites de données exercées sur sa base, il connaît la personne ou la société à l’origine du vol et peut traiter directement avec elle.

JL : Aujourd’hui, le système a principalement été créé pour lutter contre les fuites de données. Est-ce qu’il y a d’autres utilisations du système qui peuvent voir le jour pour des utilisations qui n’étaient pas forcément prévues à la base ?

MDB : Le premier objectif de TrackUp est de détecter les fuites de données et de prévenir le propriétaire de base. On a rapidement vu un bénéfice aussi pour le marché. TrackUp détecte des campagnes marketing routées sur des adresses volées. Cela signifie que des internautes reçoivent des emails commerciaux qu’ils n’ont pas désirés. Ils reçoivent donc du spam. Est-ce qu’on ne pourrait pas, en se rapprochant des organismes de lutte contre le spam ou directement des FAI, aller jusqu’au blocage des campagnes ? Cela permettrait d’éviter la propagation des données volées dans la nature et de couper les circuits d’échanges et de reventes de données volées. On apporterait donc notre pierre à l’édifice pour aider le marché à lutter contre ce type de spams et pour évincer du marché les sociétés qui ne respectent pas la loi.

JL : Par rapport aux pratiques d’adresses pièges qui ont court ? depuis de très nombreuses années, notamment en marketing direct, qu’est-ce qui fait la spécificité de l’outil que vous proposez ?

MDB : C’est l’automatisation et la certification du processus. En effet, depuis de très nombreuses années les annonceurs insèrent manuellement des adresses emails pièges dans leur base et surveillent à la main, et comme ils le peuvent, les campagnes emailings reçues. Le processus est assez archaïque, il est donc difficile de tout contrôler, de tout voir. Puis, quand un vol est détecté, il n’y a pas de possibilité de recours juridique. Avec TrackUp, la surveillance est automatisée et en continu, l’intégralité des campagnes emailings est donc contrôlée. Le processus est certifié juridiquement, donc si une fuite de données est détectée, le recours juridique est possible et efficace. De plus, ce ne sont pas uniquement des adresses pièges qui sont créées mais de véritables profils avec une profondeur de segmentation égale à la base et avec des simulations de comportements d’ouvertures et de clics.

Retrouvez toutes les infos concernant TrackUp sur https://www.track-up.com/

A propos de Jonathan Loriaux

Actif depuis plus de six ans dans l'emailing, j'ai eu un parcours qui a commencé du côté technique (intégration de campagnes emailing) avant de m'orienter vers la vente (en tant qu'expert eCRM) et enfin le conseil marketing. Depuis 4 ans je suis l'auteur du blog Badsender.com. L'emailing n'est pas seulement une expertise, c'est véritablement devenu ma passion, c'est pourquoi Badsender est maintenant mon activité principale avec la création d'une activité de consultant emailing liée au site.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *