Votre entreprise bloque-t-elle automatiquement les comptes SaaS telles que Salesforce quand un employé quitte l’entreprise ou un sous-traitant termine sa mission ? La réponse est bien trop souvent « non »… Et avez-vous déjà réfléchi aux risques encourus si un cyberattaquant ayant dérober des identifiants se connecte à votre CRM sous Salesforce ? Les données commerciales confiées au CRM sont critiques et méritent une étude de risques et la mise en œuvre de protections adéquates. Voici les mesures à systématiquement instaurer…
Un directeur commercial quitte une société pour rejoindre un concurrent. On peut s’attendre à ce qu’il emporte avec lui son carnet d’adresses, mais de là à imaginer qu’il parte également avec les données commerciales de l’entreprise ? Malheureusement, cela arrive et l’on s’en rend bien souvent compte lorsqu’il est déjà trop tard.
La plupart des entreprises conservent leurs données commerciales dans le Cloud et ce, depuis un certain temps. De nombreux dirigeants supposent en effet qu’il s’agit là du meilleur moyen pour sécuriser les données. Il s’agit pourtant d’une hypothèse dangereuse. Les fournisseurs de services Cloud sont responsables de tout ce que leur application propose (par exemple, leur centre de données) ; néanmoins, il incombe à tout dirigeant de protéger les données qui s’y trouvent.
Nos équipes de recherche ont montré qu’en moyenne, chaque employé a accès à près de 11 millions de dossiers. Ajoutons à cela, un scénario qui concerne l’accès donné par exemple à un groupe de sous-traitants qui reçoit un accès à Salesforce. Des mois plus tard, une fois leur projet terminé, les anciens sous-traitants sont la plupart du temps toujours en mesure de se connecter et d’accéder aux dossiers de la société. Ce scénario s’est vu à maintes reprises.
Il est alors indispensable de penser au degré de protection des données contenues dans un CRM. Non seulement les données commerciales contiennent des informations personnelles et réglementées qui doivent être protégées (noms, adresses, numéros de téléphone et adresses électroniques), mais elles renferment également les informations liées au business de l’entreprise – aux aspects financiers par exemple. S’ils sont perdus, c’est alors l’entreprise toute entière qui est vouée à disparaître. Il est difficile d’imaginer un ensemble de données plus crucial, d’autant plus que les entreprises utilisent leurs systèmes CRM pour toutes sortes de flux d’opérations critiques qui comprennent la gestion des contrats, des devis, des cas clients, des informations de paiement et d’autres informations sensibles.
Personne ne veut alors envisager ce qui se passerait si des cybercriminels volaient les données personnelles de clients et les divulguaient. Mais il en va de la responsabilité de tout dirigeant d’avoir cette possibilité en tête et de tout faire pour que ça n’arrive pas. En plus de mettre en péril le business, la réputation de l’entreprise pourrait être entachée et le patron pourrait alors encourir des amendes pour violation de la vie privée.
Il n’est pas facile de penser à la protection des données CRM dans sa globalité. De nombreuses applications Cloud sont devenues si sophistiquées qu’il faut un haut niveau d’expertise pour les comprendre, et les applications de gestion de la relation client (CRM) sont parmi les plus complexes.
Pourquoi est-il difficile de protéger les données commerciales essentielles ?
Les applications Cloud ne permettent pas de répondre facilement aux questions sur la protection des données. Chacune d’entre elles apporte une réponse différente lorsque l’on commence à poser des questions telles que : « Qui peut accéder à nos données sensibles ? À quoi notre ancien employé a-t-il accédé avant de partir ? Notre instance est-elle configurée correctement ? »
Mais revenons-en à Salesforce. Il s’agit essentiellement d’une base de données vaste et complexe comportant de nombreux types d’enregistrements, tels que des enregistrements de comptes pour les organisations prospectées, des enregistrements de contacts pour les professionnels avec lesquels l’entreprise souhaite entrer en contact et des enregistrements d’opportunités pour les offres sur lesquelles les équipes travaillent. Chaque enregistrement est associé à de nombreux champs, tels que le champ d’adresse, les remarques, les coûts et les références aux personnes du compte. Les contrôles d’accès qui déterminent qui a accès à quels enregistrements et à quels types d’enregistrements dans Salesforce regroupent de nombreuses couches qui se chevauchent.
La plupart des équipes de sécurité décrivent les applications Cloud comme des « boîtes noires ». Elles ne savent pas vraiment comment ces applications fonctionnent, ni ce qui se passe à l’intérieur. Lorsque les responsables cyber se plongent dedans, ils constatent qu’il existe de nombreux paramètres organisationnels, des capacités d’accès basées sur les rôles, des hiérarchies organisationnelles, des modèles commerciaux (territoire ou produit) et des contrôles d’accès précis jusqu’aux niveaux des objets et des champs. Il existe également des paramètres d’application, de système et de partage.
Certains administrateurs Salesforce avouent créer et tenir à jour des feuilles de calcul massives simplement pour essayer de savoir qui a accès à quoi. La compréhension des changements, la recherche de données sensibles et réglementées et le suivi des activités sont tout aussi difficiles et nécessitent des modules et configurations additionnels et beaucoup d’expertise.
Il n’est pas réaliste d’attendre d’une équipe de sécurité qu’elle se tienne au courant de toutes les options de configuration et de tous les mécanismes de chaque application SaaS et de chaque service d’infrastructure dans le Cloud que l’entreprise utilise dans le cadre de ses activités. Il est également impensable d’attendre des spécialistes des applications qu’ils tiennent à jour des feuilles de calcul massives et les expliquent aux responsables de la conformité et de la sécurité une fois par trimestre.
Mais alors, comment protéger les données commerciales ?
Ce qui est certain c’est que les attaquants souhaitent mettre la main sur ce type de données. La tâche de tout responsable cyber consiste donc à leur rendre l’accès aussi difficile que possible.
Il convient dans un premier temps d’analyser et hiérarchiser les risques, et ensuite d’accepter la survenue de la violation et suivre les étapes suivantes pour commencer à réduire les dommages potentiels sur le système CRM :
>> Commencer là où les avantages sont élevés et les inconvénients faibles. L’évaluation des risques liés aux données permet de découvrir de grandes quantités de données sensibles largement accessibles mais rarement utilisées, par exemple une copie complète de la base de données commerciale qui a été créée pour des tests mais jamais fermée.
>> Nos évaluations des risques révèlent que de nombreux utilisateurs disposent d’autorisations puissantes qu’ils n’utilisent jamais ou qu’ils ne devraient pas avoir. Si plus de 10 % de vos utilisateurs disposent de droits d’administration sur votre système CRM, c’est probablement trop.
>> Réaliser un exercice sur table qui porte sur vos données CRM. Supposons qu’un directeur commercial de niveau intermédiaire quitte l’entreprise. Il convient alors d’examiner alors ses accès pour voir ce qu’il aurait pu prendre. Combien de dossiers peut-il consulter ? Auxquels a-t-il accès ? Est-ce qu’un système aurait prévenu si le directeur commercial accédait à un grand nombre de dossiers ?
Les systèmes CRM sont compliqués, mais la protection des données qu’ils incluent ne doit pas l’être. Il incombe à chaque dirigeant de missionner une équipe de spécialistes en cybersécurité dont le rôle est de veiller à ce que seules les personnes adéquates aient toujours accès aux données pertinentes. Enfin, toujours s’assurer qu’elles les utilisent de la bonne manière. Au final, la protection du système CRM commence par une question simple : comment protégeons-nous nos données commerciales ?
___________________
Par Yaki Faitelson, Co-fondateur et CEO Varonis
puis