Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Relier les points entre phishing, données d’origine humaine et données compromises

La semaine dernière, j’ai écrit un texte sur certaines des conséquences de la récente allocution de Bruce Schneier lors d’une conférence sur la cryptographie qui a eu lieu à New...
David Gibson
4 minute de lecture
Dernière mise à jour 29 octobre 2021

Contenu

    La semaine dernière, j’ai écrit un texte sur certaines des conséquences de la récente allocution de Bruce Schneier lors d’une conférence sur la cryptographie qui a eu lieu à New York. En résumé, les menaces avancées persistantes (advanced persistent threats, APT) combinées aux attaques de phishing ont bouleversé l’équilibre de la sécurité des données et les pirates (et les services de renseignement gouvernementaux) se trouvent du côté gagnant. Si vous suivez régulièrement l’actualité de la sécurité informatique, cela ne devrait pas être une surprise totale, même s’il faut bien l’avouer, entendre des experts dire que la cryptographie « devient moins importante » est gênant. Mais il est possible de voir la situation actuelle d’une autre façon.

    Nous ne disons pas que nos serrures sont « dépassées » parce que celles-ci peuvent être forcées par n’importe quelle personne disposant des outils et de la formation adéquats. Ainsi que le fait remarquer monsieur Schneier, tout comme il existe des serrures de meilleure qualité et des serrures à pêne dormant, il existe des cryptographies et d’autres mesures de sécurité fortes qui doivent constituer votre configuration par défaut.

    Une invitation au phishing
    Il faut absolument mettre en place une sécurité, un chiffrement et une authentification qui soient meilleurs. Bruce Schneier souligne toutefois que la véritable astuce apprise par les pirates est comment contourner les barrières de sécurité. Et dans le cas des attaques de phishing, les cybercriminels n’auront pas besoin de crocheter la serrure, ils seront en fait invités à entrer par la grande porte.

    Le Rapport d’enquête sur les compromissions de données (Data Breach Investigations Report, DBIR), l’enquête annuelle de Verizon sur le piratage, constitue l’une de nos sources préférées en ce qui concerne les statistiques sur le piratage. Selon ce rapport, les attaques dans lesquelles les victimes ont été poussées à révéler leurs informations, ou attaques d’ingénierie sociale, ont atteint 52 % en 2012. Le phishing représente l’essentiel des attaques sociales, loin devant les faux-semblants et les pots-de-vin démodés.

    En tant qu’expert en sécurité, vous devrez accepter la dure réalité : un e-mail ou un message texte de phishing suffit à tromper un employé ou à tenter ce dernier de cliquer et de télécharger une APT. En d’autres termes, les pirates entreront. Et ensuite ?

    Une fois que l’APT est activée et s’approprie les informations d’identification de l’utilisateur ciblé, les cybervoleurs distants recherchent des données facilement monnayables dans les systèmes de fichiers : numéros de carte de crédit, comptes bancaires, numéros de sécurité sociale et autres IPI.

    La théorie du Big Bang des données d’origine humaine
    Comprendre la façon dont vos données se propagent à travers le système de fichiers devient donc essentiel. Bien sûr, la plupart des collaborateurs de l’entreprise ne laissent pas volontairement des millions de numéros sous forme de texte en clair dans des dossiers facilement accessibles. Le point clé est que les données non structurées générées par les employés ont leur propre cycle de vie et que celui-ci peut hélas conduire précisément à cette sorte de fatalité.

    Les informations de carte de crédit et autres informations spécifiques de comptes clients au format texte proviennent souvent de bases de données centralisées, à savoir des enregistrements des systèmes ERP exportés ou téléchargés par les employés sous forme de fichiers ou de feuilles de calcul lisibles.

    Mais l’aspect collaboratif des données d’origine humaine entre alors en jeu. Les travailleurs du savoir ajoutent leurs idées, leurs analyses et génèrent une cascade de nouveaux contenus, lesquels comportent souvent des références et des extraits des versions intelligibles des enregistrements d’origine. Ensuite, les présentations et documents recelant ces précieuses informations personnelles voyageant d’un serveur de fichiers à l’autre, voir des contenus riches en IPI finir dans un dossier avec des permissions de type « tout le monde » n’est qu’une simple question de temps.

    Avec des APT conçues pour rester furtives et permettre aux pirates d’analyser les systèmes de fichiers souvent pendant des mois entiers, il y a fort à parier que ceux-ci finiront par trouver le trésor.

    Comment faire face aux attaques de phishing
    La bonne nouvelle est que les employés peuvent être formés à repérer les attaques de phishing. Voici quelques informations et conseils de base qu’il serait bon de distribuer largement à vos collaborateurs et à votre personnel informatique :

    • Au travail, ne cliquez jamais sur le lien d’un courrier électronique prétendant provenir d’une banque, d’une compagnie aérienne, d’un service de livraison ou d’une société de carte de crédit.
    • N’extrayez jamais le contenu d’un fichier .zip provenant d’une adresse extérieure à l’entreprise, en particulier s’il s’agit d’un des types de sociétés mentionnés précédemment.
    • Les employés doivent être formés à l’identification des noms de domaine intégrés dans les adresses e-mail ou le code HTML des sites. Les pirates occultent souvent le domaine de niveau supérieur. Toutefois, développer l’adresse e-mail ou regarder l’URL sous-jacente dans la barre d’état du navigateur permet rapidement de voir un nom de domaine différent de celui de la marque de façade.
    • Certaines entreprises ont même exécuté des simulations d’attaques de phishing afin de mesurer la sensibilité de leurs employés, une idée que vous pouvez vous-même explorer.

    Le service informatique peut également jouer un rôle important dans la réduction ou l’élimination des IPI trouvées dans les dossiers et répertoires aux permissions trop floues. N’oubliez pas que les APT ne nécessitent généralement pas de permissions strictes pour trouver et « exfiltrer » les IPI et autres données de valeur. L’objectif du service informatique devrait être de trouver les données sensibles qui ont échappé aux zones plus surveillées des systèmes de fichiers. Voici quelques conseils pour atténuer une violation de sécurité des données :

    • Un bon plan de défense consiste à analyser régulièrement votre système de fichiers à la recherche d’IPI dans des emplacements non standards. Les définitions d’IPI varient selon les secteurs d’activité. Le secteur médical et le secteur financier en particulier sont soumis à leurs propres réglementations, de sorte que vous devrez connaître les définitions juridiques ou les règles de conformité du domaine concerné lors du développement des modèles de recherche.
    • Il est également essentiel que les gestionnaires de données participent aux décisions d’approbation des demandes d’accès par de nouveaux utilisateurs et examinent régulièrement les utilisateurs existants afin de supprimer les accès devenus inutiles. Autrement dit, l’idée est de minimiser le nombre d’utilisateurs ayant accès à des données sensibles et de rendre plus improbable l’accès aux IPI par un utilisateur aléatoire constituant la cible d’une attaque de phishing.

    The post Relier les points entre phishing, données d’origine humaine et données compromises appeared first on Varonis Français.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Gibson
    David Gibson

    David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).