Tout le monde s’accorde à dire que l’utilisation des données représente un enjeu majeur pour les entreprises. Il n’est donc pas étonnant qu’elles attirent toutes les convoitises, que ce soit de la part des spécialistes du marketing, du stockage ou de la sécurité. Les données sont au cœur de nos vies et de celles des entreprises.
Dans l’entreprise, les données sont diverses : données personnelles des employés, données clients, données marketing, données stratégiques (R&D, contrats, etc.), données financières… Pas étonnant que ces dernières suscitent également un intérêt croissant auprès des cybercriminels, mais aussi des concurrents, des hacktivistes… qui peuvent chercher à les voler, à les détruire ou les rendre illisibles, sauf contre le paiement d’une rançon.
Historiquement, et à plusieurs niveaux (réseaux, serveurs, postes et terminaux), les entreprises ont appris à dresser des protections afin de sécuriser leurs données. Pourtant, malgré toutes ces précautions, l’actualité de la sécurité informatique reste l’une des plus riches en matière d’affaires criminelles. Le constat est simple : toutes les entreprises subissent régulièrement des attaques et il y a forcément un moment ou l’une d’entre- elles percera les défenses.
De plus, une fois l’attaque réussie et les données accessibles, le travail du cybercriminel est parfois facilité.
Le fichier de la tentation
Comme le prouve les dernières actualités en matière de vols de données, les cybercriminels recherchent le plus souvent des documents qui contiennent des informations stratégiques (ex : budgets de l’entreprise, salaires, numéros de sécurité sociale des employés, etc.).
Or, il n’est pas rare que les employés peu informés emploient des mots clés explicites lorsqu’ils nomment leurs fichiers ou les documents qu’ils créent. Il est effectivement assez logique d’utiliser des mots comme « prime », « budget » ou « salaire » dans le nom des fichiers contenant des informations éponymes.
Une récente étude de Skyhigh Networks « Cloud Adoption and Risk Report » liste d’ailleurs les principaux noms de fichiers utilisés par les entreprises. Une organisation dispose ainsi en moyenne de :
– 7886 documents avec « budget » dans le nom de fichier
– 6097 documents avec « salaire » dans le nom de fichier
– 2681 documents avec « prime » dans le nom de fichier
– 2217 documents avec « confidentiel » dans le nom de fichier
– 1156 documents avec « mot de passe » dans le nom de fichier
– 1384 documents avec « passeport » dans le nom de fichier
– 156 documents avec « communiqué de presse » dans le nom de fichier
Outre les menaces externes, il est indispensable de rappeler que sans une bonne gestion des droits d’accès aux données, les employés peuvent également effectuer des recherches sur les serveurs de l’entreprise en utilisant le même vocabulaire et sont donc susceptibles d’accéder à des informations sensibles. Si un employé est en conflit avec son entreprise, sur le point de partir chez un concurrent ou tout simplement corrompu pour vendre des informations confidentielles, l’accès aux données devient un problème majeur. C’est ce que l’on appelle plus couramment la menace interne.
Le nom d’un fichier peut paraître anodin mais peut mettre très simplement les données d’une entreprise à la disposition d’un cybercriminel interne ou externe. Il est donc particulièrement important pour une entreprise d’informer et de former ses employés sur ces problématiques ou de prendre les mesures nécessaires avec des solutions adaptées : contrôle des accès, chiffrement, etc.
Cela est d’autant plus important qu’aujourd’hui les données de l’entreprise peuvent se retrouver sur une multitude de services SaaS (partage de fichiers, outils collaboratif), parfois utilisés à l’insu du service informatique de l’entreprise. On recense ainsi entre 500 et 2 000 applications cloud en moyenne au sein d‘une entreprise, un vrai défi pour le contrôle des données.
__________
Joël Mollo est Directeur Europe du Sud Skyhigh Networks