Dans une entreprise, un dossier sur cinq est lisible par n’importe lequel des collaborateurs. Et dans presque la moitié des entreprises, ce sont jusqu’à 1 000 documents sensibles qui se trouvent en accès libre pour tous les salariés ! C’est ce que révèle le rapport mondial sur les risques associés aux données (Global Data Risk Report) réalisé récemment par notre laboratoire de données.

Ces informations en libre-service sont la plupart du temps des données obsolètes mais sensibles, qui relèvent aujourd’hui de diverses réglementations, comme la loi de Sécurité Financière (LSF), le RGPD ou encore la norme de sécurité des données pour le secteur des cartes de paiement (PCI). Toute personne divulguant ou même consultant ces données sans autorisation adéquate s’expose à des sanctions. Quant à l’entreprise qui laisse fuiter de telles informations, les conséquences sur son activité ou à minima sur son image de marque seront désastreuses.

Savez-vous où sont stockées vos données sensibles ? Les pirates, eux, le savent

Le rapport Data Risk Report met l’accent sur les raisons d’élaborer des règles pour protéger des données, et sur la nécessaire prise en compte de ces questions par les conseils d’administration. Sans cela, les pirates, qu’ils soient à l’intérieur ou à l’extérieur de l’entreprise, ont pour ainsi dire le champ libre pour consulter et dérober des données critiques. Lors des attaques internes, ils n’ont qu’à fureter pour identifier les fichiers sensibles laissés sans protection. Quant aux attaques externes, force est de constater que les cyber-malfaiteurs continuent de franchir sans difficulté les barrières de sécurité.

L’hameçonnage reste une des techniques privilégiées par les attaquants extérieurs : un e-mail, provenant apparemment d’une source légitime, contient un lien ou tout simplement une pièce jointe. Lorsqu’un employé clique sur le lien ou la pièce jointe, un programme malveillant est installé sur l’ordinateur de l’utilisateur. Piloté depuis un site distant, ce programme permet aux pirates d’accéder aux ressources internes de l’entreprise, tout comme s’ils étaient eux-mêmes employés de l’entreprise.

En plus de l’hameçonnage, les pirates ont su tirer profit de la faiblesse des mots de passe, des failles de sécurité connues mais non corrigées, ou encore d’un afflux constant de nouvelles vulnérabilités qu’ils savent exploiter. Avec toutes ces techniques à leur disposition, rien n’est plus aisé pour ces pirates de devenir des « employés fictifs » et d’accéder à toutes les données qui n’ont pas été protégées.

Pourquoi les attaques ne sont-elles pas détectées plus tôt ?

Malheureusement, la plupart des entreprises ne savent pas vraiment ce qui se passe au sein de leurs infrastructures. Quand nous échangeons avec les responsables des systèmes d’information et de la sécurité informatique, nous posons souvent une question toute simple : « comment savez-vous si vos 10 000 fichiers contenant des informations sensibles ont été corrompus, effacés ou consultés ? »

La réponse pourra surprendre ceux qui n’ont jamais travaillé dans l’informatique : la plupart des organisations ne surveillent pas l’utilisation de ces fichiers. Et si l’on ne surveille pas l’utilisation qui en est faite des fichiers, il semble très difficile de détecter quand ceux-ci font l’objet d’une malveillance. Imaginons qu’une société de cartes de paiement cherche à identifier des transactions frauduleuses alors qu’elle n’est pas capable de contrôler les débits — une véritable gageure.

Investissez là où sont concentrés les risques

Si votre entreprise envisage d’investir dans la sécurité, les quelques conseils suivants vous aideront à bénéficier pleinement du potentiel de ces investissements :

Tout d’abord, évaluez les risques en faisant l’inventaire de ce qu’il vous faut protéger. Identifiez les données importantes, sensibles et réglementées aux endroits qui vous semblent évidents et, plus important encore, là où vous ne vous attendez pas à en trouver. Ne vous arrêtez pas là : vous devez encore identifier les personnes qui y ont accès, vérifier si ces données sont utilisées et si oui, par qui. Vous avez besoin de ces différentes informations pour décider si les données en question sont nécessaires (plus de la moitié sont probablement obsolètes), pour identifier les endroits où elles sont les plus exposées et donc pour repérer les utilisations frauduleuses.

Ensuite, traitez ces risques. Verrouillez les données sensibles qui sont exposées. Efforcez-vous de compliquer les choses pour les attaquants, à l’intérieur et à l’extérieur de la structure, qui souhaitent utiliser les identifiants de connexion d’un employé lambda pour accéder aux précieux numéros de carte de crédit ou de sécurité sociale. Archivez, supprimez ou mettez en quarantaine les données obsolètes qui ne sont pas vraiment nécessaires et qui, en définitive, ont moins d’utilité pour vous que pour les pirates.

Enfin, pour minimiser votre exposition au risque, vous devez désigner un coordonnateur qui prendra des décisions concernant vos données importantes. Parmi celles-ci : à qui l’accès doit-il être accordé ou enlevé, comment définir une utilisation acceptable, quand les données doivent-elles être effacées ? Aidez les coordonnateurs à prendre des décisions éclairées avec un minimum d’intervention de leur part, et vous pourriez même diminuer vos risques tout en augmentant votre efficacité.

Le flux de données est exponentiel. Nous devons donc nous attendre à davantage d’attaques. Les dirigeants des entreprises ont reçu le message et commencent à mettre en place des mesures de protection, sous la pression des nouvelles réglementations. Rester dans l’ombre en espérant passer inaperçu est inutile : les organisations qui investissent intelligemment, en s’appuyant sur une analyse hiérarchisée des risques, seront bien mieux préparées pour faire face à la prochaine vague de cybercriminalité.

 

__________
Guillaume Garbey est Directeur Field Operations de Varonis, expert CISSP