Dans cet article, j’explique comment les entreprises peuvent mieux résister à tout type d’attaque ou défaillance afin que le moindre moment de faiblesse humaine ne se transforme pas en catastrophe.
Des histoires comme celle du film Catch Me If You Can (qui raconte comment l’escroc Frank Abagnale a dupé tout son entourage) éveillent chez de nombreuses personnes l’envie de devenir Frank, qui se servait de son charme et de son ingéniosité pour convaincre les gens d’à peu près n’importe quoi.
Dans le cadre d’une fuite de données importante, il est tout à fait naturel de se demander comment un attaquant a alors réussi à tromper sa victime en usant de ses talents et de sa ruse. Nous pouvons supposer que l’attaquant aura contacté la victime avec une fausse histoire pour la convaincre.
Quelque chose du genre : « C’est Bill du département informatique, et je travaille avec Janet. Vous connaissez Janet ? Bon… désolé que vous receviez toutes ces notifications sur votre téléphone à 3 heures du matin. Si vous me donnez le code pin, je vais vous arranger ça. »
Même si un tel scénario pourrait être celui d’un film, la véritable histoire derrière les brèches de sécurité ne concerne jamais une seule mauvaise décision. Elle concerne les nombreuses décisions prises bien avant qu’un administrateur réseau fatigué ne reçoive l’appel d’un attaquant.
Dans cet article, j’explique comment les entreprises peuvent mieux résister à tout type d’attaque ou défaillance afin que le moindre moment de faiblesse humaine ne se transforme pas en catastrophe.
Comment un simple impair peut mener à une faille de sécurité massive
Lors de la récente intrusion d’une importante société de covoiturage, l’attaquant s’est frayé un chemin et a réussi à accéder aux données des applications SaaS et de l’infrastructure cloud de la société dans AWS et Google Cloud Platform. Les attaquants ciblent les données en utilisant toujours les mêmes techniques…
Ils scrutent l’environnement à la recherche de faiblesses : données non verrouillées, mots de passe faibles et mots de passe stockés en texte clair et lisible. Lors de cette récente violation, l’attaquant a trouvé un mot de passe qui lui a permis d’entrer dans le coffre fort des mots de passe, lequel lui a donné un accès à plus de données sur encore plus d’infrastructures.
Les données sont le nerf de la guerre : les attaquants savent que les entreprises dépendent de leur disponibilité et de leur confidentialité. Après une intrusion, les applications SaaS peuvent rester intactes et les infrastructures cloud peuvent être reconstituées, mais il est impossible de « ne pas compromettre » les données.
Bon nombre de dirigeants pourraient se demander : « Le cloud n’était-il pas censé nous protéger plus efficacement ? »
Concernant le cloud, un expert est en charge de veiller à ce que les applications soient sécurisées. Une autre personne est chargée de patcher l’application et toutes les dépendances, comme les banques de données et les systèmes d’exploitation. Un autre responsable est chargé du réseau, des basculements, de la climatisation, de l’extinction des incendies et de la serrure de la porte physique.
Toutes ces questions de sécurité sont confiées au fournisseur de cloud. Ne reste plus qu’à s’assurer que seules les personnes compétentes peuvent accéder aux données voulues et qu’elles n’accèdent qu’à ce dont elles ont besoin, et à vérifier si ces dernières les utilisent aux fins prévues.
Ça devrait être facile, non ? Pourtant, ça ne l’est pas et c’est plus compliqué que vous ne le pensez.
Faire la lumière sur le risque lié au cloud
Nous avons analysé 15 pétaoctets de données sur le cloud dans 717 entreprises de nombreux secteurs, notamment financiers, de santé et gouvernementaux. Quatre entreprises sur cinq (81%) ont dévoilé des données sensibles à tous les employés ou à l’ensemble de l’Internet.
Une entreprise moyenne possède près de 20 000 dossiers et plus de 150 000 fichiers partagés publiquement. Qu’y a-t-il dans ces fichiers et dossiers exposés ? Plus de 100 000 enregistrements sensibles partagés publiquement dans des applications SaaS.
Rien que dans Microsoft 365, l’entreprise moyenne avait près de 50 000 dossiers sensibles partagés publiquement. De nombreuses expositions actuelles sont rendues possibles parce que le cloud permet aux utilisateurs finaux de partager facilement des données sans l’aide ou les conseils du service informatique. Ils peuvent partager des données publiquement et avec d’autres employés en cliquant sur « partager », et ils le font.
Nous avons constaté que les employés créent des dizaines de milliers de liens de partage dans Microsoft 365. Et beaucoup de ces liens sont accessibles à tous les employés. Avec un tel partage, l’entreprise moyenne a maintenant plus de 40 millions d’objets à autorisation unique et de nombreuses expositions qui ne seront jamais revues ou visibles.
Concernant l’essentiel, malgré les avantages bien connus de l‘authentification multifacteur (MFA) en matière de sécurité, l’entreprise moyenne possède des milliers de comptes, comptes administratifs compris, qui n’en ont pas besoin.
Compliquer la tâche de l’attaquant
Les comptes à accès multiple sont des bombes à retardement pour la sécurité des données, et leur rayon d’exposition, le potentiel de dommages après une compromission, est énorme.
Quand un simple compte ou un seul appareil est compromis, quels sont les dommages qu’il pourrait causer, et comment les contenir ? Voici quatre étapes pour compliquer la tâche des cyber attaquants qui voudraient compromettre des données critiques :
> Réduire le rayon d’exposition. Il convient de limiter les dégâts que pourraient provoquer les attaquants en verrouillant l’accès aux données critiques et à veiller à ce que les employés et les sous-traitants ne puissent accéder qu’aux données dont ils ont besoin pour faire leur travail.
> Repérer les données sensibles (et les mots de passe). Trouver et repérer les données essentielles qui sont à risque. Il convient d’identifier tout ce qui intéresse les attaquants, comme les données personnelles, les données financières et les mots de passe.
> Opter pour une MFA. L’activation de l’authentification multifacteur (MFA) réduit de 99 % les risques de piratage.
> Surveiller les points les plus importants. Il est indispensable de surveiller la façon dont chaque utilisateur et chaque compte utilise les données sensibles et d’être attentif à toute activité inhabituelle qui pourrait indiquer une éventuelle compromission.
La moindre faille de sécurité ou une mauvaise décision peut être source de graves conséquences pour les entreprises. Il convient alors de faire des choix de sécurité judicieux qui limiteront le rayon d’exposition et protégeront les entreprises. Cette histoire est sans doute trop barbante pour Hollywood, mais en matière de sécurité, une journée banale est une bonne journée.
