Michel Lanaspeze, Sophos: "fuite de données ? restons pragmatiques"

Tribune: Sophos 

 

Fuite de données et protection des données, une affaire de pragmatisme

 

Les attaques les plus efficaces sont souvent celles qui utilisent des complicités internes. Dans ce cas, droit d'accès et chiffrement des données s'imposent, en séparant bien les rôles: l’administrateur qui gère les droits d’accès réseaux ne doit pas pouvoir déchiffrer les données, et celui qui gère les clés de chiffrement ne doit pas pouvoir accéder aux données chiffrées. 

 

La protection des données c'est d’abord une approche systémique de la sécurité, avec des architectures réseaux et des pare-feux bien configurés, une protection des serveurs Web renforcée, une politique de correction des vulnérabilités de sécurité systématique et un suivi constant via un monitoring (log, corrélations..). Des tests de vulnérabilité indiquent toujours des « trous » dans le SI. 

 

Il est bon de rappeler une règle : il faut mettre en œuvre des moyens proportionnés aux enjeux en matière de données sensibles et de continuité de service. Par exemple, dans le cas des fuites dites "Panama Papers", les moyens déployés pour contrer des attaques externes ont manifestement été insuffisants au regard des enjeux.

Cependant, les attaques les plus efficaces sont souvent celles qui utilisent des complicités internes. Dans ce cas, droit d'accès et chiffrement des données s'imposent, en séparant bien les rôles: l’administrateur qui gère les droits d’accès réseaux ne doit pas pouvoir déchiffrer les données, et celui qui gère les clés de chiffrement ne doit pas pouvoir accéder aux données chiffrées.  Côté utilisateurs, il faut identifier les données sensibles et les groupes de personnes pouvant y accéder (par métiers, applications, projets …) et séparer les droits pour les attribuer au plus « juste ».

Pour autant, la technologie ne peut pas tout faire, et face à des attaques d’ingénierie sociale bien ciblées et orchestrées, la meilleure défense est de créer et promouvoir une culture de la sécurité forte. Comment procéder ? 

D’abord en communiquant aux utilisateurs aux plus près de leurs métiers. Des exemples d’arnaque au Président  seront particulièrement parlants pour un département Finance, par exemple. Il faut aussi  procéder à des mesures régulières du niveau de préparation des utilisateurs, avec des tests internes de « faux phishing » par exemple, pour vérifier que les utilisateurs ont les bons réflexes. Il ne faut pas non plus hésiter à demander l’aide de services marketing pour mettre en place ces campagnes de communicationcar les experts techniques ne sont pas toujours les meilleurs "communicants".

Il faut également s’assurer de ne pas bloquer ou freiner excessivement les utilisateurs dans leur tâches quotidienne. Ils risquent en effet de se tourner vers des services de « shadow IT ».  Interdire toute utilisation de services de stockage dans le Cloud (de type Dropbox) sera par exemple contre-productif.  Il vaut mieux le permettre à condition que les données soient chiffrées, en fournissant des outils les plus simples possibles et qui permettent d’échanger les informations avec des partenaires externes de manière sécurisée.   

Il faut noter à ce propos que la nouvelle règlementation européenne sur la protection des données personnelles (RGPD ou GDPR) établit que,dans le cas des données sous-traitées, la responsabilité de l’entreprises à l'« origine » de l'émission de ces données est engagée. Il faut donc également s’assurer que ces partenaires sous-traitant adoptent les pratiques de sécurité adéquates.

Sophos, avec 2500 employés et des millions d’utilisateurs, est bien sûr directement concerné par la RGPD, comme toute entreprise qui gère un grand nombre de données personnelles. Nous le sommes également pour nos solutions de sécurité administrés dans le Cloud, où nous devons assurer la confidentialité des données d’administration hébergées pour nos clients en respectant les exigences du RGDP.   

Un des principaux défis de notre industrie est de rendre les fonctions de sécurité avancées accessibles au plus grand nombre, et pas uniquement aux Grands Comptes. Pour cela, il faut rendre l’expérience utilisateur et la gestion de la sécurité les plus simples possibles. C’est ce sur quoi Sophos se focalise.

Michel Lanaspèze

SOPHOS

Head of Marketing Western Europe 

 

Cyberisques NEWS BONUS:

http://www.cebr.com/reports/60-of-british-ctos-say-uk-government-is-performing-poorly-in-protecting-firms-from-cyberattacks/

https://blogs.sophos.com/2015/06/22/how-more-joined-up-security-thinking-could-save-billions-in-data-breach-costs/

https://blogs.sophos.com/2016/05/03/location-based-ransomware-threat-research/

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires