Une clôture, un chien de garde et un drone patrouilleur, OK, mais qu’en est-il si on a laissé une porte dérobée ouverte ?
Pourquoi les entreprises devraient-elles apporter le même soin à la sécurité de leurs données qu’à celle de leur propriété ?

Dans le monde numérique, on échange constamment des données contre différents produits et services. On se dit ou on suppose que les données que l’on divulgue sont protégées. Mais ce n’est pas toujours le cas. Il suffit de constater l’ampleur des unes dans les médias qui relatent des cas de compromission de sécurité ou de perte de données.

De l’enseigne de grande distribution américaine Target au FAI britannique TalkTalk en passant par l’organisme de réglementation de la radiodiffusion Ofcom, de multiples menaces se profilent émanant de sources nouvelles.

Les entreprises n’ignorent pas les risques. Partout dans le monde, beaucoup investissent massivement dans des solutions pour mieux se protéger contre les intrusions. Pourtant, les compromissions récentes révèlent que certaines zones demeurent exposées. Cela soulève une question : les dirigeants de ces entreprises traitent-ils les données de leurs clients avec la même vigilance que pour sécuriser leurs propres propriétés privées ? Elles ont peut-être mis en place une clôture de sécurité, doublée d’un chien de garde et d’un drone patrouilleur, mais qu’en est-il s’il reste une porte dérobée ouverte ?

La conviction commune est que les entreprises à qui l’on confie des données devraient les protéger à l’identique de leurs propres biens personnels. Ceci dit, des questions essentielles se posent quant aux approches des entreprises de la sécurité des données.

Savez-vous qui a les clés de votre domicile et les clés de quelles portes ?

Le premier niveau de sécurité d’une maison consiste à s’assurer que chaque porte est équipée d’un verrou, et que l’on sait sans aucun doute qui a accès à chaque jeu de clés. La tendance générale dans les entreprises de toute taille consiste à déployer des stratégies de sécurité pour bloquer les attaques de vulnérabilités connues provenant de l’extérieur. Mais beaucoup sous-estiment l’importance des stratégies de protection contre les salariés en interne et les tiers comme les prestataires externes, qui ont accès à l’infrastructure IT de l’entreprise. Une étude récente a d’ailleurs souligné que toutes les entreprises ne sont pas 100% au fait du nombre de fournisseurs ayant accès à leurs systèmes IT. 35% seulement pouvaient confirmer leur nombre exact. C’est surprenant sachant que 69% des professionnels de la sécurité pensent avoir été victimes d’une compromission de sécurité liée à l’accès d’un fournisseur au cours de l’année passée.

Les prestataires extérieurs jouent un rôle essentiel à l’importance croissante dans le support et la maintenance des systèmes, applications et terminaux des entreprises. Mais ils constituent aussi un réseau au maillage complexe que de nombreuses entreprises peinent à gérer correctement. Accorder à un prestataire extérieur l’accès illimité, non encadré et non contrôlé revient à remettre ses clés à tous ses amis (proches et éloignés) pour qu’ils puissent visiter sa maison quand ils l’entendent.

Vous savez qui a les clés, mais contrôlez-vous les niveaux d’accès à votre domicile ?

Quand on recrute un jardinier, on l’autorise à avoir accès au jardin et à certaines zones de la propriété. On n’accepterait sûrement pas qu’il visite des pièces où il n’a pas besoin de se rendre pour son travail. Ce que je veux dire c’est que certes on peut accorder sa confiance, mais il y a des endroits chez soi qu’on préfère incontestablement garder privés.

De nombreuses entreprises font excessivement confiance à leurs fournisseurs externes et leur accordent un libre accès sans restriction à leurs réseaux. Souvent, elles n’ont que peu de visibilité ou de contrôle sur ce que ces tierces parties font une fois connectées au réseau de l’entreprise. Il est d’ailleurs très étonnant de constater que 34% seulement des entreprises interrogées savaient le nombre exact de connexions à leur réseau attribuable à des fournisseurs tiers.

Le fait est que les fournisseurs n’ont pas besoin d’avoir accès à tout le réseau d’une entreprise mais seulement aux systèmes ou applications spécifiques intervenant dans les services qu’ils rendent ou les modifications qu’ils doivent apporter au moment précis de leur intervention. Instaurer un cadre légal qui couvre aussi la sécurité des données entre vous-même et vos prestataires extérieurs est une bonne chose, mais il convient de distinguer ces règles de vos propres procédures de sécurité des données IT. Un cybercriminel qui réussirait à se faire passer pour un fournisseur légitime pourrait en effet se procurer un accès illimité aux réseaux pendant des semaines ou même des mois, largement assez pour dérober des données sensibles ou pour faire planter des systèmes à l’importance critique.

Que font-ils exactement ?

Avec autant de fournisseurs qui se connectent chaque semaine au réseau d’une entreprise, 89 tiers en moyenne, il est important que les entreprises puissent savoir qui se connecte, quand et où. Sans contrôle d’accès granulaire et sans pouvoir établir une piste d’audit pour vérifier qui fait quoi sur le réseau, il est impossible de se protéger des vulnérabilités de tiers. Il existe des solutions de sécurité des accès déployables en quelques jours et non-invasives qui permettent aux entreprises de toute taille de prendre immédiatement le contrôle des accès des fournisseurs et des salariés et d’identifier tout type d’anomalie ou de menace potentielle.

Est-ce le moment d’adopter un nouveau système d’alarme ?

Le paysage de la sécurité est dynamique avec sans cesse de nouvelles menaces émanant de nombreuses sources, ce qui constitue un casse-tête continu pour le CISO, le directeur technique et l’équipe IT. Deux tiers des professionnels de la sécurité ont rapporté qu’il leur était difficile de garder le contrôle de ce contexte en évolution permanente. Il ne suffit plus aujourd’hui d’installer un système de sécurité et de s’en aller. Il vous faut un système qui évolue au gré des menaces potentielles. Il faut établir des règles à jour englobant les contrôles d’accès pour protéger efficacement l’entreprise, comme chacun le fait à son domicile par l’installation du dernier système d’alarme de pointe. Et surtout, pour chaque règle mise en place, vous devez élaborer une stratégie d’application et déployer les outils pour faciliter l’observation des règles actualisées.

Sécuriser tous les points d’accès

Dans ce monde, les données sont précieuses, les temps d’arrêt dans les entreprises coûtent cher et la préservation de l’image de marque est décisive. Les motivations des hackers pour vouloir compromettre votre sécurité sont multiples, mais il ne faut pas sous-estimer le fait que ce soit juste possible et réalisable. La ténacité et l’intelligence de ces cybercriminels évoluent.

Les entreprises de toute taille doivent employer de meilleures stratégies et solutions pour sécuriser et gérer les accès d’initiés et de fournisseurs à leurs réseaux, leurs systèmes et, en fin de compte, leurs données. Ce n’est qu’en sécurisant tous les points d’accès et en bloquant les portes dérobées que les entreprises vont vraiment pouvoir bénéficier des avantages qu’il y a à solliciter des prestataires extérieurs, soutenir la productivité de leurs équipes IT et se saisir des nombreuses possibilités que leur réserve le monde connecté.

__________
William Culbert est Directeur Technique de Bomgar