L’une des règles d’or de la cybersécurité est la protection des données. Elle figure donc en tête de liste des points à aborder lorsque les équipes de sécurité se réunissent. Celles-ci doivent tout faire pour que les données restent dans l’entreprise et procèdent donc au déploiement de multiples couches de solutions logicielles et matérielles. Après tout, leurs opposants (ceux qui sont à l’origine des menaces) vont tout faire pour obtenir l’accès à ces données afin de les revendre, voir même en bloquer l’accès pour demander le paiement d’une rançon en échange.
Cette guerre s’explique par la place des données dans le monde des affaires ; c’est le flux de ses données qui fait la particularité d’une entreprise, d’où l’importance de bien protéger cette valeur.
S’il est important de mettre en place une solution de protection des données, il n’en demeure pas moins que les utilisateurs doivent être sensibilisés aux pratiques de sécurité. En effet, de nombreuses compromissions voient leur origine dans un double-clic innocent pour ouvrir un fichier ou un e-mail.
Il fut un temps où les données étaient primaires ; on les a stockées en ligne pour répondre aux nouveaux usages rendus possibles par le numérique. Il s’agissait de noms, adresses e-mail ou mots de passe, parfois combinés avec le nom d’un animal domestique ou d’un parent afin de réinitialiser le mot de passe en cas d’oubli. Cette pratique ne semblait pas particulièrement importante, ni comporter de risques majeurs en cas de perte.
10 ans plus tard, tout a changé. Aujourd’hui, les informations que nous publions en ligne sont non seulement critiques, mais comme elles peuvent être partagées sur les réseaux sociaux et analysées à des fins de publicité ciblée, il devient possible de les utiliser pour dresser un profil précis et détaillé de qui vous êtes et de ce que vous faites au quotidien. Pour le dire simplement, les données en ligne sont une représentation de votre « identité numérique ». Il suffit que quelqu’un obtienne illégalement l’accès à ces informations pour qu’il soit en mesure d’effectuer des achats en ligne, de contracter des emprunts ou vous causer du tort, en résiliant vos contrats de téléphonie mobile ou en annulant vos billets d’avion.
La perte de données peut conduire à la faillite d’une entreprise
Il en va de même pour les données des entreprises, si ce n’est qu’elles appartiennent à chaque entreprise et que leur perte risque d’affecter des milliers de personnes, voire de contraindre l’entreprise à mettre la clé sous la porte.
Les attaques de malware sont désormais une menace réelle pour les entreprises. Cependant un plan de protection permet de limiter les risques, en totale conformité, ce qui vient renforcer l’image de marque de l’entreprise en cas de compromission. Quelques recommandations utiles à cet égard :
* Développez un programme interne de sensibilisation à la cybersécurité. Ces ressources de formation aident à comprendre l’importance des données avec lesquelles les employés travaillent et les différentes méthodes qui peuvent être utilisées pour en obtenir l’accès. Le Phishing demeure le vecteur d’attaque le plus fréquent mais il convient d’informer des techniques de malvertising, pouvant servir à distribuer des ransomwares, ou des attaques par point d’eau (watering hole). Comprendre ces différentes méthodes aide à mieux se protéger.
* Sachez quelles sont les données au sein de votre entreprise. Trop souvent, la réaction qui suit immédiatement une attaque ou un nouveau mandat de conformité consiste à ajouter une nouvelle couche de sécurité générique. Ce n’est pas la solution. Toutes les données n’ont pas la même valeur, les mêmes conditions d’accès ni les mêmes cycles de vie. Une approche générique rend la sécurité trop complexe à gérer, coûte cher, perturbe le flux normal des données légitimes et, au fil du temps, la protection des données s’avérera être un échec dans la mesure où les utilisateurs vont contourner les contrôles au nom de la sacro-sainte efficacité.
Bien comprendre vos données, où elles se trouvent, les informations qu’elles contiennent, quel est leur cycle de vie, qui y a légitimement accès (en interne et en externe) et quels mandats de conformité s’y appliquent, conditionne la réussite de votre stratégie de protection. Le projet a plus de chances de réussir car les données sont en sécurité, sans impact sur l’accès des utilisateurs ; mais si le pire devait se produire, votre entreprise serait aussi bien positionnée pour contenir les risques.
* N’investissez que dans des produits de sécurité adaptés. A ce stade d’évolution des technologies de protection des données et de cybersécurité, toutes les entreprises disposent des fondamentaux que sont les pare-feu, solutions de prévention des intrusions, antivirus et passerelles web et de messagerie. Il se peut qu’en cas de compromission, l’entreprise décide d’acheter une nouvelle solution pour éviter que le même scénario se reproduise. Cette réaction réflexe est courante ; déjà en 2016, les entreprises utilisaient en moyenne 75 produits différents.
Vous utilisez peut-être déjà la meilleure solution de sécurité
Vos utilisateurs peuvent être une formidable première ligne de défense s’ils sont correctement sensibilisés à la cybersécurité. De même vous disposez peut-être déjà de la meilleure solution de sécurité. Le véritable défi réside dans la capacité à extraire des informations pertinentes et à générer des alertes quand c’est nécessaire.
Il est conseillé aux RSSI et équipes IT de réfléchir aux moyens de déployer une couche de sécurité qui ne remplace pas l’existant mais l’améliore. Contrairement à ce qu’on attend parfois dans l’industrie, la réponse au problème n’est jamais le remplacement pur et simple (‘rip and replace’). Il s’agit plutôt de valoriser les solutions en place et les compétences disponibles pour diminuer les menaces le plus rapidement et le plus précisément possible.
Les entreprises doivent impérativement réfléchir à la façon dont leur infrastructure réseau prend en compte les habitudes liées à l’utilisation des données. En effet, comprendre les usages aide à détecter les comportements anormaux et inconnus avant qu’ils ne perturbent le réseau. Des solutions de sécurité intelligentes et automatisées peuvent alors prendre des décisions en fonction de «l’acceptabité » du trafic entrant ou de son caractère « inacceptable » ou encore « inconnu ». Les données suspectes devraient être automatiquement soumises à une analyse poussée (sandboxing compris) pour être identifiées et fournir aux équipes de sécurité des éléments leur permettant de prendre une décision définitive d’autorisation ou de rejet.
Malgré la protection en place, des menaces peuvent parvenir à s’infiltrer sur le réseau ou être introduites accidentellement par un utilisateur. Dans ce cas, des solutions de prévention des menaces avancées existent. Elles génèrent une vue consolidée de toutes les solutions de sécurité, mais aussi de la propagation de chaque menace sur le réseau. Les techniciens devraient idéalement être équipés de façon à appliquer les changements requis ou à déployer les mises à jour permettant de neutraliser une menace rapidement.
Il ne faut pas sous-estimer l’importance de protéger les données et de comprendre comment différents types d’information sont exploitables, aussi bien à des fins de marketing que d’infection par un malware. Cela permet instaurer une protection et une gouvernance optimales des données.
Il est facile de se tromper d’approche de protection des données, si bien qu’il est fondamental de trouver un juste équilibre pour assurer la fluidité de circulation des données dans l’entreprise. L’étape suivante est celle de la formation des salariés (en continu) pour limiter le risque de téléchargement de fichiers depuis des sources peu fiables ou encore de clics sur des liens malveillants. Mais cet aspect mériterait un article à lui seul.
La protection des données est un impératif de chaque instant pour une entreprise du numérique : il n’est pas près de disparaître et appelle une grande diversité d’approches. Méfiez-vous de tout expert qui vous dirait le contraire. Pour être viable, votre stratégie doit reposer sur la compréhension fine des données et flux spécifiques à votre entreprise, sur des outils adaptés de détection, analyse et réduction des risques, mobilisant à la fois l’intelligence et l’automatisation et les talents de votre équipe réseau, ainsi que la formation continue de vos salariés.
___________________
Par Laurence Pitt, directeur de la stratégie de sécurité chez Juniper Networks