Données en danger? Mesures simples, gros impact

Pratique
Par · 05/07/2016

Bien souvent, une entreprise ne s’aperçoit qu’elle a été victime d’un piratage, d’un détournement de données, d’une violation, compromission ou autre atteinte à ses données, que lorsqu’un tiers – partenaire, service public de surveillance des cyber-risques, prestataire… – le lui signale.

Ces atteintes à la sécurité des données sont devenus monnaie courante. Même les sociétés censées être les mieux protégées sont la cible d’attaques – trop souvent fructueuses.

Les responsables de la société américaine Hypersocket Software ont concocté une petite liste de six conseils à l’usage des sociétés, quelle que soit leur taille, afin de les aider à minimiser autant que possible les risques de piratage de données.

Authentification

Le vol et/ou le détournement d’identifiants et droits d’accès constitue l’un des vecteurs d’incursion préférés des hackers. Une solution réside dans le déploiement d’un logiciel de gestion d’identité et d’accès (IAM – Identity and Access Management). Le logiciel veille à vérifier la cohérence entre les identifiants introduits et l’identité de l’utilisateur, le respect des droits d’accès (en fonction des rôles et autorisations de chacun) et met en oeuvre des mécanismes d’authentification plus ou moins stricts selon la criticité de l’environnement et des données.

Certaines solutions y ajoutent une analyse constante des risques, avec génération automatique de rapports sur les accès (qui et quoi), les activités des divers “rôles” d’utilisateurs, avec profilage de leur comportement accompagné d’un score de risque.

Sécurisation des applications

L’un des mécanismes de protection des applications est celui de l’authentification multi-factorielle. Autrement dit, l’utilisateur est invité à produire plusieurs preuves de son identité: mot de passe, token, relevé biométrique… Ce degré de sécurisation est particulièrement recommandé pour des utilisateurs bénéficiant de nombreux “privilèges” d’accès et pouvant dès lors occasionner le plus de dégâts en cas de comportement réprouvé ou de perte ou détournement de leur identité.

Limitation et déclinaison fine des droits d’accès

“Le fait que quelqu’un ait justifié de son identité en tant qu’employé ne signifie pas automatiquement qu’il bénéficie d’un accès totalement libre. Il est conseillé d’appliquer le principe du “privilège minimal” afin de s’assurer que les employés ont uniquement accès aux services dont ils ont réellement besoin.”

A chaque entreprise, dès lors, de déterminer qui a accès à quoi, si tout le monde peut avoir accès à n’importe quel système, quelles catégories d’utilisateurs peuvent bénéficier de droits absolus… Les accès pilotés par les rôles sont une possibilité intéressante en la matière. A condition de bien gérer les rôles – en ce compris au fil du temps.

Surveiller et amender au fil de l’eau

“Les modes les plus habituels de pirater un réseau d’entreprise consistent dans l’exploitation des vulnérabilités système, de mots de passe paramétrés par défaut, d’injections SQL et d’attaques ciblées via maliciels (“malware”). Ce sont là des choses qu’une entreprise doit surveiller de manière constante.

“La robuste des systèmes et des services [fonctionnels] doit être surveillée en permanence. Des coups de sonde pour détecter des points d’entrée et des points faibles potentiels devraient faire partie des tâches quotidiennes.”

Pour ce faire, l’entreprise peut tout simplement s’appuyer sur les myriades de données que génèrent ses propres systèmes. L’analyse de ces données permet de détecter des anomalies ou des “comportements” inhabituels, potentiellement suspects.

Des contrôles réguliers sont recommandés pour vérifier la structure des mots de passe, la configuration des pare-feu, celle des serveurs qui sont en contact avec le monde extérieur (Internet, clients, partenaires, fournisseurs…), l’existence de ports demeurés ouverts…

Gestion des mots de passe

Sécuriser et protéger les applications, en veillant à l’efficacité des pare-feu, protections de périmètre, mécanismes d’authentification et autres, est une chose. Mais cela n’aura guère d’effet si le point faible demeure le mot de passe. “Les mots de passe sont devenus tellement monnaie courante que les utilisateurs font souvent preuve de légèreté dans leur usage. Des mots de passe maintes fois répétés, trop simples, à entropie trop faible, sont la porte ouverte à une recrudescence d’attaques.”

Il est dès lors recommandé, non seulement de mettre en oeuvre une politique de gestion des mots de passe, mais aussi de préconiser des solutions de gestion des mots de passe en mode self-service. En cas d’oubli par l’utilisateur, les mots de passe sont auto-gérés afin de préserver leur robustesse.

Autre conseil: éviter d’utiliser, sur le réseau de l’entreprise, les mêmes mots de passe que ceux utilisés sur les réseaux sociaux, ces derniers étant avidement surveillés et “pompés” par les hackers.

Instaurer une “culture” de la sécurité

L’entreprise doit définir son propre cadre, ses règles de sécurité et en communiquer la teneur à ses employés. “Chaque niveau de la société devrait prendre cette mise en oeuvre et le suivi scrupuleux des règles très au sérieux – depuis le simple employé jusqu’au CEO.”

Parmi les bons conseils: veiller à la cohérence des règles pour tous les types d’équipements – serveurs, réseaux, ordinateurs, périphériques, équipements personnels… Cela permet de réduire le niveau de risques. “On a parfois l’impression que les atteintes à la sécurité des données se font plus fréquentes et les hackers plus sophistiqués. En réalité, le degré de complexité de la plupart des atteintes portées aux données est faible et sont souvent la résultante d’une simple erreur commise par un employé.”

Conclusion subliminale de la part des collaborateurs de Hypersocket Software: quelques mesures basiques ou relativement aisées à mettre en oeuvre peuvent déjà réduire sensiblement les risques.