Les données personnelles de près de 112.000 policiers, mais aussi de leurs proches, tous adhérents de la Mutuelle Générale de la Police, ont fuité sur Internet. Une plainte aurait été déposée la semaine dernière. L’enquête qui a par la suite été ouverte à Toulouse, vise un employé de la mutuelle. Ce dernier aurait en effet agi par vengeance après une affaire de primes non versées.
Pour Norman Girard, Vice-Président et directeur général Europe de Varonis : « Une fois encore l’actualité démontre qu’un grand nombre de vols de données sont dût aux employés, malveillants ou non. La plupart des employés ont accès à beaucoup d’information et souvent bien plus d’informations que celles dont ils ont réellement besoin pour faire leur travail. Ce qu’ils font de ces données n’est la plupart du temps pas surveillé ou analysé pour détecter un potentiel comportement malveillant. Les employés peuvent ainsi accéder et s’approprier des informations très sensibles, souvent sans que personne ne le sache ou après un délai parfois très long.
Dans le cas du vol dont a été victime la Mutuelle Générale de la Police, on constate que c’est un employé en conflit avec sa direction qui a copié, puis envoyé à l’extérieur via un service Cloud des données confidentielles. Comme dans la majorité des cas de piratage interne : un événement déclencheur fait basculer une personne de confiance dans un état de mécontentement qui servira de point de départ à un vol d’information. Les raisons qui poussent un employé à se transformer en pirate sont multiples (promotion refusée, déception vis-à-vis de la direction de la société, problèmes financiers, départ chez un concurrent, activisme, etc.), et le résultat peut avoir des conséquences désastreuses.
Il est toutefois important de souligner que, tandis que l’employé malveillant a pris les précautions nécessaires pour exfiltrer des données, et les publier via un compte anonyme sur un service Cloud, les équipes informatiques de la Mutuelle Générale de la Police ont été en mesure d’identifier via analyse post-mortem, la source de la fuite d’information et la copie massive de données. Il est donc à mon sens essentiel de saluer ce travail d’investigation. On l’oublie souvent, mais bon nombre des fuites de données restent impunies, fautes d’outillages et de moyens techniques. En vue d’améliorer encore le niveau de sécurité de la Mutuelle Générale de la Police, la prochaine étape consisterait à faire un travail de suivi et d’analyse précis de la façon dont les salariés utilisent les données, de profilage des rôles et des comportements de sorte à élaborer un schéma de protection proactif. »
Pour Joël Mollo, Directeur EMEA de Skyhigh Networks : « L’employé de la Mutuelle Générale de la Police a utilisé le service cloud Google Drive qui ne nécessite aucune installation sur le poste de travail. En moyenne, une entreprise européenne type utilise plus de 1 038 applications cloud et quelques-unes en utilisent jusqu’à 6.000 ! Toutes ces applications ne sont pas légitimes et l’on constate que beaucoup d’employés utilisent de nombreux services à l’insu de leur direction et des autorisations du département informatique. C’est ce que l’on appelle couramment le Shadow IT.
Si la Mutuelle Générale de la Police avait surveillé le trafic Cloud, elle aurait pu détecter le transfert de données au moment il quittait l’organisation, au lieu de s’en apercevoir des semaines plus tard. C’est là tout l’intérêt des solutions de sécurité des données dans les applications Cloud (les Cloud Access Security Broker ou CASB) : un CASB permet de détecter l’ensemble des applications Cloud utilisées au sein d’une entreprise (légitimes ou non) et de prendre les mesures de sécurisation nécessaires le cas échéant, évitant ainsi toute exfiltration massive d’informations.
Beaucoup d’organisations négligent encore ce que l’on appelle la menace interne. Des employés mécontents peuvent en effet être la source de fuites de données, et comme ceux-ci possèdent parfois de trop nombreuses habilitations, il devient difficile de contrôler ce risque. La sécurité informatique doit prendre de l’avance face à ce type d’employés indélicats pour identifier des modèles de trafic inhabituels et aider à repérer un employé malintentionné qui risque de s’accaparer des données. »
puis