La cybersécurité expliquée par Synomega : le scraping

Qu’est-ce que le scraping, cette méthode qui permet d’aspirer nos données ?

Le « scraping », consiste à aspirer un très grand nombre de données sur un site web ou un réseau social. Un programme “copie-colle” automatiquement les données voulues et les retranscrit grâce à un logiciel spécifique. Les hackers qui utilisent le “data scraping” peuvent récupérer de façon organisée toutes les données publiques présentes sur les sites et les réutiliser à mauvais escient.

Le 30 avril 2020, la CNIL a publié de nouvelles directives sur l’utilisation du scraping en Europe. Les lignes directrices de la CNIL précisent que les données accessibles au public sont toujours des données personnelles et qu’elles ne peuvent pas être réutilisées à l’insu de la personne à laquelle ces données appartiennent.

D’après le texte du RGPD, Règlement Général sur la Protection des Données, l’utilisation et la revente de données sans le consentement de l’internaute ne sont pas autorisées.

Quelles sont les principales cibles du scraping ?

Les cibles principales du scraping par des hackers sont les sites web et les réseaux sociaux qui fédèrent un grand nombre d’utilisateurs et de données. Après la récupération des données, le hacker peut les revendre ou demander une rançon (cf. le ransomware).

Quels sont les risques pour les entreprises ?

Le grattage de données, ou récupération de données, est un risque pour les entreprises :

• Lorsque cela touche les adresses mails, les personnes hackées peuvent être la cible de campagnes d’hameçonnage (phishing) de grande envergure, aussi tous les collaborateurs d’une même entreprise sont en mesure d’être concernés.
• Les collaborateurs peuvent également être la cible d’annonces frauduleuses, les invitant à donner leurs identifiants et mots de passe. Le hacker peut ensuite entrer dans le système de l’entreprise.
• Le chef d’entreprise peut se retrouver face à une fraude à l’identité et perdre la main sur sa propre société.

Comment prévenir le scraping en entreprise ?

Le conseil principal de Synoméga est de former les collaborateurs sur les données personnelles et les données professionnelles. Dans la mesure du possible, il ne faut pas divulguer de données sensibles sur un site web ou les réseaux sociaux. Le mieux est de crypter un maximum de données afin que celles-ci ne soient pas trop facilement aspirées par un hacker.

De plus, il est conseillé de ne jamais ouvrir la pièce jointe d’un mail inconnu. Dans le cas d’une usurpation d’identité, il est préférable de prendre conseil auprès de votre infogérant informatique, si vous trouvez sa demande anormale.

L’activité de scraping n’est pas illégale, en revanche, la réutilisation des données scrapées, telles quelles ou après transformation mineure, est interdite en France et en Europe grâce au RGPD et à la CNIL.

Les données d’un collaborateur sont vulnérables sur le web, il est donc important d’être informé et de protéger au mieux ses données personnelles et sensibles. Synoméga vous accompagne en vous aidant à respecter les bons usages informatiques, particulièrement entre les collaborateurs, et donc à minimiser les risques de cyberattaque.