Fuite de données, violation… L’amalgame est vite fait. L’éditeur ESET nous invite à clarifier la situation et à identifier nos faiblesses.
Si les fuites de données et leur violation sont aujourd’hui d’une banalité déconcertante, trop d’idées fausses circulent en ce qui concerne le pourquoi et le comment de leur apparition, constate l’éditeur ESET. La réalité est que la source des fuites de données provient souvent de membres de l’organisation et sont généralement le résultat d’un malheureux accident ou d’un vice interne. Cela peut être aussi simple qu’une erreur humaine ou un contournement des règles du réseau informatique de l’entreprise.
Déjà, il convient de distinguer fuites et violations de données. Dans le cas de violation des données, les pirates doivent avoir accès à un serveur par le biais d’une vulnérabilité ou en attaquant d’une manière qui peut être contrée si la solution de sécurité adéquate a été mise en place.
Dans le cas d’une fuite de données, il est fort possible qu’il n’y ait pas de failles dans le système de sécurité. En lieu et place, les données peuvent s’être retrouvées entre de mauvaises mains à cause d’une action interne irresponsable ou à cause de l’action malveillante d’un employé mécontent.
La distinction entre ‘fuite’ et ‘violation’ de données n’est pas universelle. De nombreux experts classeraient ces pertes de données comme étant des violations -car elles peuvent être aussi dommageables les unes que les autres pour une entreprise. Mais en les séparant, nous pouvons décomposer les problèmes et mieux comprendre pourquoi ceux-ci ont eu lieu.
Premier point faible, l’erreur humaine
Malgré ce qui a pu être investi dans une solution de sécurité, l’erreur humaine est la seule chose pour laquelle il est impossible de tout prévoir. Selon l’enquête de PWC 2015 Information Security Breaches Survey, l’an dernier, 50% des violations les plus graves ont été causée par des erreurs humaines involontaires.
Pour David Harley, chercheur principal chez ESET, une très large proportion de violations de sécurité est causée directement ou indirectement par les membres internes à une organisation, qu’il s’agisse d’une erreur humaine, d’un problème d’ingénierie sociale, de mauvaises décisions au niveau de la gestion sécuritaire, etc. Je ne suis pas convaincu que des actions délibérément mal intentionnées de personnes internes soient plus importantes que tous ces autres facteurs.»
Comme dit le proverbe ‘l’erreur est humaine’, mais cela ne veut pas dire qu’on ne peut rien faire pour éviter ce genre de violation des données. Selon l’enquête 2015 de PwC, 33% de grandes organisations déclarent que les responsabilités en matière de protection de données ne sont pas claires alors que 72% des organisations où la politique de sécurité était mal comprise avaient été victimes de violations imputables au personnel.
Faire en sorte que tous les employés soient conscients de la sécurité informatique et que la responsabilité de maintenir la sécurité des réseaux ne concerne pas uniquement quelques spécialistes permettrait de réduire à un strict minimum les erreurs coûteuses.
Deuxième point faible, le vol
Bien que nous voudrions vous dire que les données ne sont volées que par des criminels extérieurs, des vols de l’intérieur de votre entreprise peuvent aussi avoir lieu. Au Royaume-Uni, cette année, l’agence de communication OFCOM a appris que pendant six ans, un ancien employé avait subrepticement accumulé des données de tiers. L’agence n’a appris cette fuite de données que lorsque l’ancien employé a voulu transmettre ces données à son nouvel employeur qui a informé OFCOM de cette pratique malhonnête.
Aucune entreprise n’aime suspecter ses employés mais on peut prévenir ce genre de fuite de données en évitant les risques inutiles. Lorsque des documents sensibles sont concernés, faites que leur accès soit réservé uniquement à ceux qui en ont réellement l’utilité. Stocker toutes les données de l’entreprise sur un serveur collectif géant n’est jamais une bonne idée.
Troisième point faible, l’utilisation abusive d’accès
Même lorsque les intentions des employés ne sont pas malhonnêtes, des actions apparemment bénignes peuvent affaiblir le réseau IT et occasionner des fuites de données. Selon un rapport publié en 2014 par Cisco, environ un quart des employés interrogés ont admis avoir partagé des informations sensibles avec des amis, la famille ou même des étrangers. Près de la moitié des employés interrogés partageaient, sans supervision, des appareils avec des personnes de l’extérieur de l’entreprise.
Ces comportements peuvent sembler innocents, mais c’est ainsi que les données sensibles se retrouvent hors du contrôle de l’organisation. Les paramètres de sécurité et les procédures être contournés.
Maintenant, concrètement, il s’agit de prendre des mesures concrètes. ESET les énumère et les commente dans un récent post : Digital patch kit: How to protect yourself from data leaks