L’affaire a fait encore couler beaucoup d’encre et sème encore l’inquiétude. Les renseignements personnels, incluant le numéro d'assurance sociale de 2,9 millions de membres de Desjardins ont été dérobés par un employé de l’institution.
Cela ne fait que confirmer, s’il en était besoin, la gravité de ce type d’attaques informatiques provenant de l’interne, avec pour acteurs les employés et collaborateurs de l’entreprise.
Dans le texte qui suit, je me suis servi de la mésaventure de Desjardins pour illustrer mon propos. Mais bien évidemment il n’est pas question de pointer du doigt cette institution, ce d’autant qu’elle est loin d’être la seule organisation à avoir été victime d’attaques internes.
Qu’est-ce qu’un initié
La plupart du temps, lorsque nous pensons aux menaces internes, nous avons en tête à l'initié malveillant qui veut causer intentionnellement des dommages à une organisation. Ces initiés sont motivés généralement par l’appât du gain ou la vengeance.
Cependant, toutes les infractions ne sont pas intentionnelles. La grande majorité des incidents est accidentelle. Ce peut être un pare-feu mal configuré, la divulgation d’informations sensibles dans un courriel ou le fait d’être victime d’une attaque par hameçonnage.
il y a également l'initié négligent qui, comme l'initié accidentel, n'a aucune volonté de nuire, mais peut causer des dommages parce qu'il ne connaît pas la politique ou la procédure associée aux données qu'il traite. Prenons l'exemple d'une personne qui emporte ses informations avec elle après avoir quitté l'entreprise sans comprendre que ce sont des informations qui appartiennent à l’entreprise.
C'est ce qui rend la menace interne si risquée. Des employés dignes de confiance peuvent se tromper ou se faire voler leurs identifiants sans que ce soit leur faute. Les erreurs et la négligence des employés sont les principales causes des violations de données, et non pas l'intention malveillante.
Les attaques informatiques internes sont en progression
Selon l’étude Insider Threat Report 2019 de Bitglass, 73 % des répondants déclarent que les attaques informatiques internes sont devenues plus fréquentes au cours de l’année 2018. En 2017 ils n’étaient que 56 % à le déclarer. De plus, 59 % des entreprises interrogées aurait subi au moins une attaque de ce type durant l’année écoulée
https://www.bitglass.com/press-releases/threatbusters-2019-insider-threat-report
Comment faire pour qu’une personne autorisée à accéder à un certain type de données, ne puisse en faire un usage non autorisé?
Quel que soit le type de menaces, vous devez impérativement protéger les données essentielles de votre organisation et de vos clients.
La première action consiste à identifier les actifs les plus critiques, dont la valeur peut dépasser de loin les coûts associés à leur sécurisation. Dans l’exemple de Desjardins, ce pourrait être les informations personnelles de ses membres en tout premier lieu.
La deuxième action consiste à établir un contrôle d’accès strict aux données. Il s’agit de contrôler par exemple qui peut se connecter, à quel moment, depuis quels lieux et pendant combien de temps, à quelle fréquence. La politique de moindre privilège doit être mise en œuvre afin de n’accorder l’accès uniquement que lorsque cela est nécessaire, et en le révoquant lorsque le besoin prend fin. Également cette démarche doit intégrer une gestion adaptée des mots de passe pour les employés les sous-traitants.
Dans l’exemple de Desjardins, l’employé avait accès aux données confidentielles de clients. Mais au titre de ses fonctions, avait-il besoin d’avoir accès aux données de 2,9 millions de clients? Si oui, les données aurait-elles pu être anonymisées?
Les fonctions de l’employés l’autorisaient-elle à télécharger un tel volume de données confidentielles?
Le ministre des finances du Québec a annoncé qu’il avait convenu avec Desjardins de resserrer sa gouvernance et sa gestion de risques dans le cadre du bilan amorcé en collaboration avec l’Autorité des marchés financiers.
http://www.fil-information.gouv.qc.ca/Pages/Article.aspx?idArticle=2708142670
La troisième action consiste à enregistrer de manière inaltérable toute opération sur des accès à privilèges.
La quatrième action consiste à détecter, idéalement en temps réel, toute tentative non conforme en vue de prévenir les attaques impliquant ces accès. Dans l’exemple de Desjardins, à l’évidence cette couche de contrôle ne semble ne pas avoir fonctionné, étant donné qu’il n’y a pas eu d’alerte.
Conclusion
Les entreprises qui veulent réussir dans le contexte dynamique et concurrentiel actuel, doivent assurer leur sécurité et la protection des données dont elles ont la charge, en contrôler non seulement les attaques externes mais aussi les attaques internes.
Si Les initiés représentent une menace si grande pour les entreprises, c’est parce qu’ils sont souvent capables, volontairement ou par négligence, de contourner les mesures de sécurité, créant ainsi un angle mort pour ceux qui sont en charge.
C’est pourquoi il est impératif pour les compagnies de se protéger avec le niveau requis en fonction de leur contexte.
Blogue Present
Pourquoi et comment prévenir les attaques informatiques internes
Cela ne fait que confirmer, s’il en était besoin, la gravité de ce type d’attaques informatiques provenant de l’interne, avec pour acteurs les employés et collaborateurs de l’entreprise.
Dans le texte qui suit, je me suis servi de la mésaventure de Desjardins pour illustrer mon propos. Mais bien évidemment il n’est pas question de pointer du doigt cette institution, ce d’autant qu’elle est loin d’être la seule organisation à avoir été victime d’attaques internes.
Qu’est-ce qu’un initié
La plupart du temps, lorsque nous pensons aux menaces internes, nous avons en tête à l'initié malveillant qui veut causer intentionnellement des dommages à une organisation. Ces initiés sont motivés généralement par l’appât du gain ou la vengeance.
Cependant, toutes les infractions ne sont pas intentionnelles. La grande majorité des incidents est accidentelle. Ce peut être un pare-feu mal configuré, la divulgation d’informations sensibles dans un courriel ou le fait d’être victime d’une attaque par hameçonnage.
il y a également l'initié négligent qui, comme l'initié accidentel, n'a aucune volonté de nuire, mais peut causer des dommages parce qu'il ne connaît pas la politique ou la procédure associée aux données qu'il traite. Prenons l'exemple d'une personne qui emporte ses informations avec elle après avoir quitté l'entreprise sans comprendre que ce sont des informations qui appartiennent à l’entreprise.
C'est ce qui rend la menace interne si risquée. Des employés dignes de confiance peuvent se tromper ou se faire voler leurs identifiants sans que ce soit leur faute. Les erreurs et la négligence des employés sont les principales causes des violations de données, et non pas l'intention malveillante.
Les attaques informatiques internes sont en progression
Selon l’étude Insider Threat Report 2019 de Bitglass, 73 % des répondants déclarent que les attaques informatiques internes sont devenues plus fréquentes au cours de l’année 2018. En 2017 ils n’étaient que 56 % à le déclarer. De plus, 59 % des entreprises interrogées aurait subi au moins une attaque de ce type durant l’année écoulée
https://www.bitglass.com/press-releases/threatbusters-2019-insider-threat-report
Comment faire pour qu’une personne autorisée à accéder à un certain type de données, ne puisse en faire un usage non autorisé?
Quel que soit le type de menaces, vous devez impérativement protéger les données essentielles de votre organisation et de vos clients.
La première action consiste à identifier les actifs les plus critiques, dont la valeur peut dépasser de loin les coûts associés à leur sécurisation. Dans l’exemple de Desjardins, ce pourrait être les informations personnelles de ses membres en tout premier lieu.
La deuxième action consiste à établir un contrôle d’accès strict aux données. Il s’agit de contrôler par exemple qui peut se connecter, à quel moment, depuis quels lieux et pendant combien de temps, à quelle fréquence. La politique de moindre privilège doit être mise en œuvre afin de n’accorder l’accès uniquement que lorsque cela est nécessaire, et en le révoquant lorsque le besoin prend fin. Également cette démarche doit intégrer une gestion adaptée des mots de passe pour les employés les sous-traitants.
Dans l’exemple de Desjardins, l’employé avait accès aux données confidentielles de clients. Mais au titre de ses fonctions, avait-il besoin d’avoir accès aux données de 2,9 millions de clients? Si oui, les données aurait-elles pu être anonymisées?
Les fonctions de l’employés l’autorisaient-elle à télécharger un tel volume de données confidentielles?
Le ministre des finances du Québec a annoncé qu’il avait convenu avec Desjardins de resserrer sa gouvernance et sa gestion de risques dans le cadre du bilan amorcé en collaboration avec l’Autorité des marchés financiers.
http://www.fil-information.gouv.qc.ca/Pages/Article.aspx?idArticle=2708142670
La troisième action consiste à enregistrer de manière inaltérable toute opération sur des accès à privilèges.
La quatrième action consiste à détecter, idéalement en temps réel, toute tentative non conforme en vue de prévenir les attaques impliquant ces accès. Dans l’exemple de Desjardins, à l’évidence cette couche de contrôle ne semble ne pas avoir fonctionné, étant donné qu’il n’y a pas eu d’alerte.
Conclusion
Les entreprises qui veulent réussir dans le contexte dynamique et concurrentiel actuel, doivent assurer leur sécurité et la protection des données dont elles ont la charge, en contrôler non seulement les attaques externes mais aussi les attaques internes.
Si Les initiés représentent une menace si grande pour les entreprises, c’est parce qu’ils sont souvent capables, volontairement ou par négligence, de contourner les mesures de sécurité, créant ainsi un angle mort pour ceux qui sont en charge.
C’est pourquoi il est impératif pour les compagnies de se protéger avec le niveau requis en fonction de leur contexte.
À propos de ce blogue
La bonne utilisation de la technologie relève les défis de l'entreprise et stimule la croissance de l'entreprise dans tous les domaines d'une entreprise. Nous espérons que ce blog vous donnera un aperçu du développement de stratégies et de tactiques pour vous permettre d'identifier ces principaux moteurs de croissance et de suivre le rythme et d'anticiper les changements technologiques rapides d'aujourd'hui.
Articles par Sujets
S'inscrire au blogue
Continuer à lire
Êtes-vous sûr de votre capacité à identifier les escroqueries par ingénierie sociale ?
Seriez-vous victime d'une tactique d'ingénierie sociale ? Il est plus difficile que vous ne le...La cybersécurité d'abord - Mois de la sensibilisation à la cybersécurité 2021
Il est moins coûteux, plus facile et moins risqué de se protéger d’une attaque par ransomware que...Les sauvegardes sont essentielles pour se défendre contre la cybercriminalité
Avec toutes les discussions récentes sur la cybersécurité et la façon dont la pandémie a affecté la...