Le rendez-vous des PME et de l'Intelligence Economique

Moins de vol de données dans les entreprises, mais montée des menaces internes ! PDF Imprimer Envoyer
Écrit par Mathieu Lahierre   
Jeudi, 16 Septembre 2010 06:33

Tags: Compromissions de données | Détecter les incidents | Menaces internes | Utilisation des outils sociaux | Verizon | Vol de données

Moins de vol de données dans les entreprises, mais montée des menaces internes !

L’édition 2010 du rapport de Verizon Business Risk Team intitulé Data Breach Investigations Report est pour la première fois alimenté par les données de l’United States Secret Service, agence gouvernementale américaine dépendante du Département de la Sécurité intérieure des États-Unis.

L’implication de l’USSS a permis aux équipes de Verizon d’avoir accès à d’autres sources d’informations et de dresser un état des lieux plus global des compromissions (au total 900 pour plus de 900 millions de données corrompues).

Les résultats de l’enquête mettent en exergue la baisse du nombre d’infractions commises entre 2008 et 2009. Par contre, le rapport révèle une augmentation significative des « compromissions de données liées à des menaces internes et à l’utilisation des outils sociaux ».

La conclusion principale que l’on peut extraire de ce rapport est tout simplement que les entreprises ne sont pas encore toutes prêtes pour détecter les incidents (et les traiter correctement) soit par manque de volonté soit par manque de moyens (financiers, matériels mais surtout humains) soit par manque de sensibilisation aux menaces qui pourraient peser sur l’entreprise (et ce qu’elle que soit sa taille !) où le « ça n’arrive qu’aux autres » et le « je n’ai rien de confidentiel dans ma société » est le reflet de la ligne de conduite de l’entreprise.

« La majorité des infractions (60%) continuent à être détectée par des tiers externes après un temps considérable alors que la faille est bien souvent signalée dans les journaux d’événements (logs) des victimes, elle est trop souvent ignorée ».

L’emploi de droits d’accès non-autorisés (vol, social engineering) est le biais le plus souvent utilisé pour accéder aux réseaux de l’entreprise. Le résultat souligne l’importance de la mise en place d’une réelle politique de sécurité de l’information applicable et dimensionnée à la taille de l’entreprise, fixant les règles de sécurité aussi bien au niveau du système d’information (ressources matérielles) qu’au niveau des utilisateurs (ressources humaines).

En effet, les incidents liés à des vulnérabilités peuvent être facilement évités dans la mesure où les failles de sécurité dans les systèmes sont en décroissance depuis un an.

Selon les experts de Verizon, « les compromissions auraient pu être évitées si les principes élémentaires de sécurité avaient été respectés ». Seuls 4% des cas auraient nécessité des mesures des protections complexes et coûteuses à mettre en place.

Ci-après, une communication de Verizon sur les principaux résultats du rapport 2010 :

  • La plupart des compromissions de données étudiées sont le fait de sources externes. 69 % des infractions proviennent de sources extérieures et 11 % seulement sont le fait de partenaires. 49 % ont été causées par des sources internes, une hausse par rapport à 2008 principalement due à l’inclusion des données et cas des Services Secrets américains.
  • De nombreuses compromissions impliquent une utilisation abusive des droits d’accès. 48 % des infractions sont le fait d’utilisateurs malintentionnés qui ont abusé de leurs droits d’accès pour accéder à des informations de leur entreprise. 40 % d’entre elles sont attribuables à des pirates, tandis que 28 % se basent sur des outils sociaux et 14 % relèvent d’attaques physiques.
  • Certains constats sont communs à toutes les violations de données. Comme lors des années précédentes, pratiquement toutes les données dérobées l’ont été depuis des serveurs et applications en ligne. 85 % des failles étaient simples à détecter et 87 % des victimes auraient pu repérer l’infraction grâce à leurs journaux d’événements, sans toutefois l’avoir fait.
  • La conformité à la norme PCI-DSS reste une nécessité. 79 % des victimes concernées par la norme PCI-DSS n’étaient pas totalement conformes lors de l’infraction.

Quelques recommandations pour les entreprises fournies par Verizon. Elles ont l’avantage de ne pas être destinées seulement aux grandes entreprises.

Le Data Breach Investigations Report 2010 démontre, une fois de plus, que certaines mesures très simples, si elles sont appliquées convenablement et régulièrement, peuvent s’avérer très efficaces :

  • Restreindre et surveiller les privilèges accordés aux utilisateurs. Les données recueillies par les Services Secrets indiquent une augmentation sans précédent du nombre d’infractions commises par des sources internes. Les utilisateurs en interne, en particulier ceux disposant de droits étendus, peuvent être difficiles à surveiller. La meilleure des stratégies est de n’accorder ce type de droits qu’après avoir réalisé une enquête avant embauche, de limiter les droits d’accès et d’instaurer une séparation des fonctions. L’usage de droits étendus doit être consigné dans les logs (journaux d’événements) et les activités effectuées détaillées dans des rapports destinés à la direction.
  • Ne négliger aucun cas de violation de politique de sécurité. Les résultats de cette enquête permettent d’établir un lien entre les cas de violation de politique de sécurité en apparence mineurs et les abus plus sérieux. Tous les cas de violation doivent donc être pris en compte et traités. Selon le rapport, la simple présence de contenus illicites sur des systèmes utilisateur ou un comportement inapproprié doivent alerter les entreprises. La méthode la plus efficace est encore de rechercher activement ces indicateurs.
  • Instaurer des mesures pour contrer les vols de codes d’accès. Empêcher l’installation des logiciels de capture de droits d’accès malveillants sur les systèmes est une priorité absolue. Un double système d’authentification peut constituer une solution efficace. Il peut également s’avérer utile, dans la mesure du possible, d’instaurer des règles sur le temps d’utilisation, d’inscrire les adresses IP suspectes sur une liste noire et de restreindre les connexions administrateur.
  • Surveiller et filtrer le trafic sortant. Le rapport démontre que lors de la plupart des violations de données, quelque chose (données, communications, connexions) emprunte le réseau de l’entreprise pour rejoindre l’extérieur. Prévenir cette connexion sortante pourrait ainsi rompre la chaîne et stopper la fuite de données La surveillance, l’analyse et le contrôle du trafic sortant réduisent ainsi de manière significative les risques d’attaque des entreprises.
  • Adapter sa stratégie de surveillance des événements et d’analyse des logs. La grande majorité des victimes dispose de la preuve de la compromission dans ses logs (journaux d’événements). La détection des éléments problématiques et la mise en œuvre d‘actions correctives adaptées sont à la portée du plus grand nombre. Les entreprises devraient accorder davantage de temps au contrôle du traitement de leurs données et à l’analyse de leurs logs. Il est important qu’elles veillent à disposer du personnel, des outils et des processus adéquats pour détecter et pallier les anomalies.
  • Partager ses informations sur les incidents. L’efficacité d’une entreprise à se protéger pleinement repose sur les informations dont elle dispose pour le faire.
 

Newsletter

Recevez la Newsletter IE Love PME



Contact IE Love PME

contact@ielovepme.com

technique@ielovepme.com

partenariat@ielovepme.com

Fils RSS

Feedburner rss IElovePME

Add to Google

 

addtomyyahoo4

 

Add to netvibes

 

Subscribe with Bloglines

 

Add to My AOL

 twitter_ielovepme

Partenaires

Label Orange b2b site web partenaire

logonanojv

logo_troover

parrainer_la_croissance

logoflyint_v8

small_iz_beautiful

logo_madie

Copyright © 2007 - 2010 - Association IE Love PME - All Rights Reserved / Reproduction interdite sans permission écrite d'IE Love PME.
Conditions d'utilisations / Qui sommes nous