Le récent piratage du Pentagone, suite auquel le garde de 21 ans Jack Teixeira aurait divulgué des renseignements sensibles sur les réseaux sociaux pour élever sa réputation, relance les conversations sur la protection des données contre les personnes internes malveillantes. Du serpent du jardin d’Éden (l’initié originel) à Snowden, Manning, Winner et maintenant Teixeira, il suffit d’une pomme empoisonnée pour changer le cours de l’histoire.
L’accès aux informations, et de manière plus générale l’accès bien trop fréquent aux données sensibles, est un thème récurrent chez les initiés. Comme le souligne Robert Litt, ancien avocat général du bureau du directeur du renseignement national, « après des fuites pareilles, il faudrait procéder à un examen sérieux et approfondi du partage des informations, du nombre de personnes bénéficiant d’autorisations de sécurité, de la mise en œuvre des politiques existantes en matière "d’accès pour les seules personnes concernées" et de la surveillance des systèmes classifiés ».
Les menaces internes, ce sont les risques contre lesquels il est le plus difficile de se défendre, et ceux qui peuvent faire le plus de dégâts. Le Pentagone avait probablement mis en place tous les dispositifs appropriés dans son enceinte physique et son périmètre numérique. M. Teixeira travaillait dans une SCIF, une installation d’information compartimentée sensible, qui « protège les données contre la surveillance électronique et empêche les fuites ».
Aucune clé USB ne peut y entrer ni en sortir, rien ne peut être chargé sur Internet et aucune transmission n’est possible. Pourtant, aucun de ses contrôles de périmètre n’a rien pu faire contre cette menace.
Anatomie d'une attaque interne
Alors, qu’est-ce qui s’est passé ? L’auteur de la fuite bénéficiait d’un accès à des données sensibles dont il n’avait sans doute pas besoin. Malgré l’engouement de l’industrie pour le Zero Trust, cette affaire illustre l’échec du modèle « need-to-know » et/ou une défaillance dans la surveillance des systèmes classifiés.
Dans de nombreuses entreprises, l’accent est souvent mis sur la protection des périmètres plutôt que sur la protection de la cible elle-même : les données qui s’y trouvent.
Voici une conversation qu'un PDG pourrait avoir avec l'équipe de sécurité informatique chargée de protéger les données sensibles de l'entreprise.
PDG : Appliquons-nous des correctifs à nos systèmes ?
Équipe de sécurité informatique : Bien sûr. Sinon, les hackers en exploiteraient les vulnérabilités.
PDG : Formons-nous nos employés en simulant des tentatives de phishing ?
Équipe de sécurité informatique : Oui, nous formons nos employés, car tout le monde reçoit des e-mails de phishing à longueur de temps.
PDG : Des logiciels de sécurité sont-ils installés sur tous les terminaux ?
Équipe de sécurité informatique : Oui, car en cas d’attaque de phishing, le logiciel sur le terminal concerné permet de bloquer les malwares que les hackers tentent d’installer.
PDG : Bloquons-nous les clés USB et les chargements groupés ?
Équipe de sécurité informatique : Oui, car ces dispositifs facilitent la tâche aux personnes internes souhaitant voler des données.
PDG : Verrouillons-nous et surveillons-nous nos données les plus importantes ?
Équipe de sécurité informatique : Non.
N’est-il pas étrange que les entreprises disposent d’autant de contrôles sans localisation du risque ? Après tout, les banques ne se concentrent pas plus sur ce qui passe leurs portes et leurs fenêtres que sur les personnes entrant et sortant du coffre-fort, sinon l’argent serait tout aussi en sécurité que les stylos.
Si M. Teixeira n’avait pas eu accès à autant d’informations sensibles en premier lieu, les dommages potentiels auraient pu être inexistants ou considérablement réduits, et contenus beaucoup plus rapidement. La sécurité du Pentagone aurait pu être inefficace au niveau du périmètre, mais personne ne connaîtrait le nom de M. Teixeira si les données avaient été protégées depuis le début.
Trouver le juste équilibre entre accès et sécurité
Verrouiller un coffre-fort dans le monde numérique représente évidemment un défi de taille. Les emplacements de stockage des données plus sensibles se multiplient chaque jour, et bien collaborer nécessite un équilibre entre productivité et sécurité. Les données n’ont de valeur que si elles peuvent être partagées.
Si vous verrouillez complètement l’accès aux données, ou de manière trop restreinte, les actifs sont gelés. La communauté du renseignement s’en est rendu compte après avoir restreint les informations partagées entre les différentes agences avant les attentats du 11 septembre. Si vous lâchez trop de lest, les informations peuvent rapidement être mises en danger, comme l’a montré le récent piratage du Pentagone.
Comment trouver le juste équilibre en accès et sécurité ? Voici cinq mesures que vous pouvez prendre pour évaluer votre degré de préparation face à un initié malveillant ou à un hacker externe qui voudrait compromettre le compte ou l’ordinateur d’une personne interne.
- Faites l’inventaire de vos règles en matière de protection des données sensibles. Avez-vous déterminé quand et comment supprimer, mettre en quarantaine ou verrouiller des données sensibles ?
- Vérifiez si vous pouvez appliquer ces règles manuellement ou de manière automatisée.
- Vérifiez si vous pouvez facilement identifier toute violation de ces règles.
- Déterminez quelles règles devraient être créées, ajustées ou appliquées plus efficacement.
- Si vous débutez, envisagez de faire l’inventaire de vos données pour voir où les utilisateurs stockent les données sensibles et avec qui ils les partagent.
Si vous êtes comme la plupart des organisations, vos employés peuvent accéder à des données sensibles de n’importe où, à partir de nombreux appareils, dans des applications et dépôts de données connectés au cloud, autrement dit tout l’opposé d’une SCIF. Avec un périmètre aussi distribué et imprévisible, il est encore moins logique d’y allouer la majeure partie de nos maigres ressources de sécurité : nous n’avons aucune idée de l’endroit d’où proviendront les attaques.
Nous savons en revanche ce que les hackers cibleront. Votre entreprise ne détient peut-être pas de renseignements top secret, mais il y a de fortes chances que vous ayez des informations que quelqu’un recherche. Et c’est ici qu’il est judicieux de concentrer vos maigres ressources.
La sécurisation des informations selon le principe du « need-to-know » et la surveillance étroite de ces données à la recherche de tout signe d’activité inhabituelle peuvent contribuer à réduire les dommages que peuvent causer les initiés et les rendre plus faciles à repérer. Les pirates externes prenant le contrôle de l’ordinateur ou du compte d’un employé (devenant ainsi une menace interne) doivent faire beaucoup plus d’efforts pour accéder aux données recherchées, donnant plus de chances aux solutions de surveillance de les repérer.
Peu importe les données gérées, secrets militaires ou commerciaux, peu importe que vos employés travaillent dans une SCIF, un bureau ou chez eux : concentrer vos contrôles sur les données les protège mieux contre les attaques internes et externes. Vous faites d’une pierre deux coups.
Cet article a été publié pour la première fois sur Forbes.
-1.png)
