Varonis announces strategic partnership with Microsoft to accelerate the secure adoption of Copilot. Learn more

Blog Sécurité des données

Des fuites sur les serveurs de la Nouvelle-Zélande démontrent la nécessité de la gouvernance des informations

Comment un rapport de permissions aurait pu empêcher les fuites des serveurs néo-zélandais Cette semaine, Keith Ng a écrit un article sur son blog à propos d’une énorme faille de...
David Gibson
3 minute de lecture
Dernière mise à jour 17 août 2022

Contents

    Comment un rapport de permissions aurait pu empêcher les fuites des serveurs néo-zélandais

    Cette semaine, Keith Ng a écrit un article sur son blog à propos d’une énorme faille de sécurité dans le réseau du Ministère des affaires sociales de la Nouvelle-Zélande. Il a pu entrer dans un kiosque public dans le Work and Income Office et, sans usurper un mot de passe ni utiliser un cheval de Troie, obtenir un accès immédiat à des milliers de fichiers sensibles.

    À quel point ces fichiers étaient-ils sensibles, demanderez-vous ? Entre autres choses, Ng a pu parcourir, lire et modifier les données suivantes :

    • Factures et autres données financières
    • Fichiers-journaux du centre d’appels
    • Fichiers associant des enfants et des ordonnances médicales
    • Identités d’enfants inscrits dans des programmes pour besoins particuliers

    Effrayant.

    Comment en est-on arrivé là ?

    Deux possibilités :

    1. La session ouverte sur les kiosques disposait des permissions d’administrateur (par exemple Administrateur de domaine) avec accès complet à toutes les données sur le réseau

    2. La session ouverte sur les kiosques correspondait à un compte « normal », mais les permissions de partage de fichiers étaient incorrectes, permettant un accès global

    J’ai beaucoup de mal à croire qu’une session d’administrateur ait pu être ouverte sur les kiosques, mais on ne peut pas l’exclure. L’autre cause, à savoir des permissions excessives/incorrectes, est en réalité un problème auquel nous sommes très souvent confrontés chez Varonis, littéralement chaque semaine, avec nos clients.

    Qu’aurait-on pu faire pour prévenir le problème ?

    Débrancher les kiosques est seulement une première étape. Ce ne sont pas les kiosques qui sont le problème. Il existe des problèmes bien plus graves de gouvernances des informations au cœur de cette fuite de données.

    Voici quelques conseils qui vous aideront à traiter la cause sous-jacente, et pas seulement le déclencheur :

    1. Localisez les données exposées et sensibles

    • Utilisez un cadre de classification des données pour analyser vos serveurs de fichiers et déterminer où se trouve votre contenu le plus sensible, et où il est exposé à trop d’utilisateurs

    Une fois que vous avez localisé les éléments sensibles, assurez-vous que seules les personnes qui doivent y avoir accès y ont effectivement accès, et surveillez l’activité sur les données sensibles pour vous assurer que les utilisateurs autorisés ne font pas un usage inapproprié de leur accès.

    Un agent de sécurité d’entreprise a besoin d’une solution qui lui dise à tout moment où sont exactement ses données sensibles, où elles sont surexposées, et qui y accède. Si quelqu’un crée un fichier avec un numéro de sécurité sociale ou un identifiant de patient et le place sur un dossier partagé accessible depuis un kiosque, l’équipe responsable de la sécurité doit être alertée automatiquement.

    2. Identifiez et supprimez les groupes d’accès globaux des listes de contrôle d’accès

    • Déterminez où les groupes « Tout le monde » ou « Utilisateurs identifiés » apparaissent dans les listes de contrôle d’accès et supprimez-les

    Cela peut être difficile parce que a) il n’est pas évident de consulter toutes les listes de contrôle d’accès sur tous les serveurs de fichiers ou les serveurs NAS à la recherche de « Tout le monde », et b) vous devez supprimer l’accès global sans couper l’accès aux personnes qui en ont réellement besoin.

    3. Surveillez vos super-utilisateurs

    • Configurez des alertes pour tous les cas où quelqu’un reçoit des privilèges de super-utilisateur/administrateur
    • Examinez régulièrement la liste des gens qui ont un accès privilégié
    • Examinez votre piste d’audit pour voir ce que les super-utilisateurs font de leurs droits spéciaux

    Même dans l’hypothèse où ces kiosques étaient par erreur configurés pour ouvrir une session d’administrateur, un examen de l’activité d’accès réalisé par le Ministère lui aurait sans doute permis de remarquer une quantité anormale d’activité d’administrateur depuis les adresses IP des kiosques publics.

    4. Définissez des propriétaires de données et impliquez-les

    • L’accès aux enregistrements médicaux d’enfants, par exemple, devrait être accordé, non par le département informatique, mais par l’unité opérationnelle responsable de la gestion des patients (par exemple un directeur médical).

    En transférant cette responsabilité aux personnes qui sont le mieux à même de prendre des décisions de contrôle d’accès (c’est-à-dire les propriétaires des données), non seulement vous obtenez de meilleures décisions, mais vous soulagez également le département informatique d’une partie de son fardeau.

    À quel point cela est-il difficile ?

    Beaucoup des réactions aux articles de Ng suggèrent qu’il s’agit d’erreurs de débutants, et de non-respect de principes élémentaires. Je peux vous assurer que la gouvernance des données est beaucoup plus difficile qu’on ne le pense ordinairement, spécialement à une époque où les données prolifèrent, étant créées et reproduites à une cadence infernale.

    À ces commentateurs, j’aimerais poser une question simple : sans solution automatisée, comment le département informatique de ce ministère pourrait-il savoir quels dossiers sont par erreur accessibles à tous ?

    Cela prend 30 secondes à une personne agacée pour ajouter « Tout le monde » à une liste de contrôle d’accès, mais trouver et corriger cette erreur de contrôle d’accès peut prendre des années. Pire encore : une fois le problème identifié, comment savoir si les données surexposées n’ont pas été volées par une personne moins bien intentionnée que Keith Ng ?

    Voilà la question que doit à présent se poser le gouvernement néo-zélandais.

    Quelle est l’état de votre protection des données ?

    Si vous souhaitez obtenir une évaluation gratuite de la sécurité des données offerte par Varonis, contactez-nous

    The post Des fuites sur les serveurs de la Nouvelle-Zélande démontrent la nécessité de la gouvernance des informations appeared first on Varonis Français.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    David Gibson
    David Gibson David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Try Varonis free.

    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    la-plateforme-de-sécurité-des-données-varonis-mentionnée-dans-le-guide-d’achat-des-produits-d’audit-et-de-protection-des-données-2017-de-gartner
    La Plateforme de sécurité des données Varonis mentionnée dans le Guide d’achat des produits d’audit et de protection des données 2017 de Gartner
    la-plateforme-de-sécurité-des-données-varonis-mentionnée-dans-le-guide-d’achat-des-produits-d’audit-et-de-protection-des-données-2017-de-gartner
    Carl Groves
    4 mai 2017
    En 2005, nos fondateurs étaient porteurs d’une vision cohérente de l’élaboration d’une solution de protection des types de données les plus répandus dans les entreprises : les fichiers et les e-mails....
    gestion-de-la-posture-de-sécurité-des-données-(dspm) :-guide-des-bonnes-pratiques-à-l’intention-des-dsi
    Gestion de la posture de sécurité des données (DSPM) : Guide des bonnes pratiques à l’intention des DSI
    gestion-de-la-posture-de-sécurité-des-données-(dspm) :-guide-des-bonnes-pratiques-à-l’intention-des-dsi
    Rob Sobers
    14 juin 2023
    Maîtrisez les meilleures pratiques de gestion de la posture de sécurité des données (DSPM) avec notre guide destiné aux DSI. Apprenez à sélectionner le bon outil, à rester conforme et à empêcher les fuites de données.
    la-cybercriminalité-constitue-une-préoccupation-des-cadres-dirigeants
    La cybercriminalité constitue une préoccupation des cadres dirigeants
    la-cybercriminalité-constitue-une-préoccupation-des-cadres-dirigeants
    Michael Buckbee
    18 avril 2016
    En matière de cybercriminalité, les conséquences économiques subies par les entreprises restent un facteur difficile à évaluer. Cependant, PwC a relevé ce défi et vient de publier les résultats de...
    8-conseils-pour-survivre-à-l’apocalypse-de-la-sécurité-des-données
    8 conseils pour survivre à l’apocalypse de la sécurité des données
    8-conseils-pour-survivre-à-l’apocalypse-de-la-sécurité-des-données
    Michael Buckbee
    6 mars 2018
    En ce moment, travailler dans le domaine de la sécurité c’est un peu comme survivre à une apocalypse provoquée par une invasion de zombies – des hordes de robots et...