Vos données sont-elles protégées contre les menaces internes ? Protégez vos secrets en cinq étapes

Cet article décrit cinq mesures que vous pouvez prendre pour évaluer votre degré de préparation face à un initié malveillant ou à un hacker externe qui voudrait compromettre le compte ou l’ordinateur d’une personne interne.
Yaki Faitelson
4 minute de lecture
Dernière mise à jour 23 février 2024

Le récent piratage du Pentagone, suite auquel le garde de 21 ans Jack Teixeira aurait divulgué des renseignements sensibles sur les réseaux sociaux pour élever sa réputation, relance les conversations sur la protection des données contre les personnes internes malveillantes. Du serpent du jardin d’Éden (l’initié originel) à Snowden, Manning, Winner et maintenant Teixeira, il suffit d’une pomme empoisonnée pour changer le cours de l’histoire.

L’accès aux informations, et de manière plus générale l’accès bien trop fréquent aux données sensibles, est un thème récurrent chez les initiés. Comme le souligne Robert Litt, ancien avocat général du bureau du directeur du renseignement national, « après des fuites pareilles, il faudrait procéder à un examen sérieux et approfondi du partage des informations, du nombre de personnes bénéficiant d’autorisations de sécurité, de la mise en œuvre des politiques existantes en matière "d’accès pour les seules personnes concernées" et de la surveillance des systèmes classifiés ».

Les menaces internes, ce sont les risques contre lesquels il est le plus difficile de se défendre, et ceux qui peuvent faire le plus de dégâts. Le Pentagone avait probablement mis en place tous les dispositifs appropriés dans son enceinte physique et son périmètre numérique. M. Teixeira travaillait dans une SCIF, une installation d’information compartimentée sensible, qui « protège les données contre la surveillance électronique et empêche les fuites ».

Aucune clé USB ne peut y entrer ni en sortir, rien ne peut être chargé sur Internet et aucune transmission n’est possible. Pourtant, aucun de ses contrôles de périmètre n’a rien pu faire contre cette menace.

Anatomie d'une attaque interne

Alors, qu’est-ce qui s’est passé ? L’auteur de la fuite bénéficiait d’un accès à des données sensibles dont il n’avait sans doute pas besoin. Malgré l’engouement de l’industrie pour le Zero Trust, cette affaire illustre l’échec du modèle « need-to-know » et/ou une défaillance dans la surveillance des systèmes classifiés.

Dans de nombreuses entreprises, l’accent est souvent mis sur la protection des périmètres plutôt que sur la protection de la cible elle-même : les données qui s’y trouvent.

Voici une conversation qu'un PDG pourrait avoir avec l'équipe de sécurité informatique chargée de protéger les données sensibles de l'entreprise.

PDG : Appliquons-nous des correctifs à nos systèmes ?

Équipe de sécurité informatique : Bien sûr. Sinon, les hackers en exploiteraient les vulnérabilités.

PDG : Formons-nous nos employés en simulant des tentatives de phishing ?
Équipe de sécurité informatique : Oui, nous formons nos employés, car tout le monde reçoit des e-mails de phishing à longueur de temps.

PDG : Des logiciels de sécurité sont-ils installés sur tous les terminaux ?

Équipe de sécurité informatique : Oui, car en cas d’attaque de phishing, le logiciel sur le terminal concerné permet de bloquer les malwares que les hackers tentent d’installer.

PDG : Bloquons-nous les clés USB et les chargements groupés ?
Équipe de sécurité informatique : Oui, car ces dispositifs facilitent la tâche aux personnes internes souhaitant voler des données.

PDG : Verrouillons-nous et surveillons-nous nos données les plus importantes ?
Équipe de sécurité informatique : Non.

N’est-il pas étrange que les entreprises disposent d’autant de contrôles sans localisation du risque ? Après tout, les banques ne se concentrent pas plus sur ce qui passe leurs portes et leurs fenêtres que sur les personnes entrant et sortant du coffre-fort, sinon l’argent serait tout aussi en sécurité que les stylos.

Si M. Teixeira n’avait pas eu accès à autant d’informations sensibles en premier lieu, les dommages potentiels auraient pu être inexistants ou considérablement réduits, et contenus beaucoup plus rapidement. La sécurité du Pentagone aurait pu être inefficace au niveau du périmètre, mais personne ne connaîtrait le nom de M. Teixeira si les données avaient été protégées depuis le début.

Réduisez vos risques sans en prendre aucun.
Commencez votre évaluation gratuite.

Trouver le juste équilibre entre accès et sécurité

Verrouiller un coffre-fort dans le monde numérique représente évidemment un défi de taille. Les emplacements de stockage des données plus sensibles se multiplient chaque jour, et bien collaborer nécessite un équilibre entre productivité et sécurité. Les données n’ont de valeur que si elles peuvent être partagées.

Si vous verrouillez complètement l’accès aux données, ou de manière trop restreinte, les actifs sont gelés. La communauté du renseignement s’en est rendu compte après avoir restreint les informations partagées entre les différentes agences avant les attentats du 11 septembre. Si vous lâchez trop de lest, les informations peuvent rapidement être mises en danger, comme l’a montré le récent piratage du Pentagone.

Comment trouver le juste équilibre en accès et sécurité ? Voici cinq mesures que vous pouvez prendre pour évaluer votre degré de préparation face à un initié malveillant ou à un hacker externe qui voudrait compromettre le compte ou l’ordinateur d’une personne interne.

  1. Faites l’inventaire de vos règles en matière de protection des données sensibles. Avez-vous déterminé quand et comment supprimer, mettre en quarantaine ou verrouiller des données sensibles ?
  2. Vérifiez si vous pouvez appliquer ces règles manuellement ou de manière automatisée.
  3. Vérifiez si vous pouvez facilement identifier toute violation de ces règles.
  4. Déterminez quelles règles devraient être créées, ajustées ou appliquées plus efficacement.
  5. Si vous débutez, envisagez de faire l’inventaire de vos données pour voir où les utilisateurs stockent les données sensibles et avec qui ils les partagent.

Si vous êtes comme la plupart des organisations, vos employés peuvent accéder à des données sensibles de n’importe où, à partir de nombreux appareils, dans des applications et dépôts de données connectés au cloud, autrement dit tout l’opposé d’une SCIF. Avec un périmètre aussi distribué et imprévisible, il est encore moins logique d’y allouer la majeure partie de nos maigres ressources de sécurité : nous n’avons aucune idée de l’endroit d’où proviendront les attaques.

Nous savons en revanche ce que les hackers cibleront. Votre entreprise ne détient peut-être pas de renseignements top secret, mais il y a de fortes chances que vous ayez des informations que quelqu’un recherche. Et c’est ici qu’il est judicieux de concentrer vos maigres ressources.

La sécurisation des informations selon le principe du « need-to-know » et la surveillance étroite de ces données à la recherche de tout signe d’activité inhabituelle peuvent contribuer à réduire les dommages que peuvent causer les initiés et les rendre plus faciles à repérer. Les pirates externes prenant le contrôle de l’ordinateur ou du compte d’un employé (devenant ainsi une menace interne) doivent faire beaucoup plus d’efforts pour accéder aux données recherchées, donnant plus de chances aux solutions de surveillance de les repérer.

Peu importe les données gérées, secrets militaires ou commerciaux, peu importe que vos employés travaillent dans une SCIF, un bureau ou chez eux : concentrer vos contrôles sur les données les protège mieux contre les attaques internes et externes. Vous faites d’une pierre deux coups.


Cet article a été publié pour la première fois sur Forbes.

 

 

What should I do now?

Below are three ways you can continue your journey to reduce data risk at your company:

1

Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

2

See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

3

Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

Try Varonis free.

Get a detailed data risk report based on your company’s data.
Deploys in minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

l'ia-dans-le-monde-professionnel :-trois étapes-pour-préparer-et-protéger-votre-entreprise
L'IA dans le monde professionnel : trois étapes pour préparer et protéger votre entreprise
Découvrez comment votre entreprise peut se préparer et protéger vos données sensibles contre les risques que présente l’IA générative.
sécuriser-vos-fichiers-:-protégez-vos-données-avec-des-astuces-très-simples-!
Sécuriser vos fichiers : Protégez vos données avec des astuces très simples !
La sécurité des données est un terme général touchant à de nombreux domaines. Elle recouvre les processus et technologies destinés à protéger les fichiers, les bases de données, les applications,...
5-façons-de-protéger-active-directory-avec-varonis
5 façons de protéger Active Directory avec Varonis
Le moyen le plus rapide de s’infiltrer dans un réseau est de passer par Active Directory (AD) – c’est lui qui détient les clés de tout le royaume. Si vous devez accéder...
comment-protéger-votre-environnement-cloud-contre-les-5 principales-menaces-du-moment
Comment protéger votre environnement cloud contre les 5 principales menaces du moment
Découvrez les cinq principales menaces liées au cloud concernant vos données sensibles et comment protéger votre entreprise de celles-ci.