47 % des organisations laissent au moins 1 000 fichiers sensibles accessibles à tous leurs employés. Et dans 22 % des entreprises, ce sont même plus de 12 000 fichiers renfermant des informations relatives à la régulation, à la propriété intellectuelle, ayant une valeur concurrencielle ou normalement réservées à certains employés qui sont en libre accès. Ce sont quelques unes des conclusions, pas si surprenantes en réalité, d’un audit mené par Varonis, un spécialiste de la protection de données, auprès de 80 organisations. Soit 3,79 Po de données, 2,8 milliards de fichiers et 236 millions de dossiers passés au crible. Sur ce total, 48 millions de dossiers étaient ouverts à tous au sein de l’organisation, explique Varonis. La démonstration concrète de la difficulté des administrateurs à gérer les droits d’accès aux dossiers et fichiers sensibles dans les systèmes Windows.
Dans le détail, Varonis pointe également les erreurs dans la gestion des permissions d’accès aux dossiers partagés. 10 % d’entre eux sont ainsi associés à des permissions uniques, soit des autorisations ponctuelles fournies pour des cas particuliers. Or, pour Varonis, cette méthode se révèle trop complexe à analyser. « Plus complexe est la structure du système de fichiers, plus il existe de risques qu’un utilisateur se voit accorder un accès non prévu. Les permissions uniques accroissent la complexité quand une entreprise tente de se conformer à des régulations qui requièrent un suivi précis des accès aux données sensibles, comme c’est le cas du futur GDPR », écrit Varonis. A ce problème touchant, un dossier sur 10, s’ajoutent quelques erreurs (dossiers protégés, bloquant l’héritage de droits, SID non résolue…), affectant quelques pourcents supplémentaires des dossiers audités. Notons que cette question de l’héritage des droits lors d’un changement de dossiers est tout sauf théorique ; elle était même au centre de l’affaire dite LuxLeaks, concernant des données dérobées à PwC Luxembourg.
Au-delà de la gestion des droits associés aux dossiers, se pose aussi la question de la maintenance des accès des utilisateurs. Varonis affirme avoir découvert, au cours de ses audits dans 80 organisations réparties dans le monde, près de 450 000 comptes d’utilisateurs périmés, mais conservant leurs droits d’accès associés. Une cible classique pour les hackers. A elle seule, une organisation du monde de l’éducation en comptait 231 000 ! Mais, même chez le meilleur élève du panel, 3 % des comptes étaient périmés. Varonis ajoute que plus de 500 000 comptes d’utilisateurs audités n’étaient pas associés à des règles d’expiration du mot de passe, ce qui facilite les attaques par force brute et le maintien de hackers dans des systèmes qu’ils seraient parvenus à compromettre.
A lire aussi :
Par crainte d’être licencié, un devops pirate son employeur
Quand un DSI laisse des backdoors pour pirater son ancien employeur
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.