Comment allez-vous protéger votre entreprise et vos clients contre les pirates informatiques en 2015 ? Une chose est sûre : si vous n'avez pas établi une politique de sécurité claire, robuste et applicable suite aux nombreuses attaques hautement médiatisées de 2014, vous êtes une victime potentielle. Voici quelques suggestions pour vous aider à vous protéger.
Les failles de sécurité n'ont jamais autant fait les gros titres qu'en 2014 et ces attaques sont de plus en plus sophistiquées. Les coordonnées bancaires de 40 millions de clients ont été rendues vulnérables lorsque des pirates informatiques ont exploité le système de la chaîne de magasins Target. Ces attaques massives ne sont que la partie émergée de l'iceberg – une étude réalisée par Ponemon Institute indique que 43% des entreprises ont subi une fuite de données en 2014.
La majorité de ces attaques visent les données détenues au sein de l'entreprise. Cela inclut les données commerciales, historiques et transactionnelles. Elle comprend les données que vous êtes légalement tenu de garder confidentielles et de protéger, conformément à la législation sur la protection des données. C'est un problème soulevé notamment dans le cadre des services Cloud.
Tokenization ou chiffrement ?
Toutes les données visibles peuvent être piratées, il est donc logique de les garder cachées. La tokenization et le chiffrement de données peuvent permettre de faire la différence :
- la tokenization permet de remplacer les données sensibles par une valeur que l'on appelle un token. Les données sont ensuite restaurées dans leur état d'origine. Les données en cours de transmission ne sont d'aucune utilité sans le code de jeton.
- le chiffrement utilise des algorithmes pour transformer les données. Les datas sont récupérées grâce à la bonne clé de chiffrement.
protéger les données dans le cloud
L'entreprise américaine de conseil et de recherche Gartner a récemment publié un rapport mettant en lumière l'augmentation de l'utilisation de CASB (Cloud Access Security Brokers) pour faire appliquer les politiques de sécurité de l'entreprise pendant le transfert des données dans le Cloud. Notamment en protégeant les données lorsqu'elles sont téléchargées ou envoyées dans le Cloud.
Outre la protection des données, les entreprises doivent garantir que leurs solutions sont dotées de la certification adéquate, comme par exemple les normes de sécurité HIPAA, CJIS ou PCI DSS. Il est également important de veiller sur la performance des solutions que vous mettez en place. Le cadre de la cybersécurité du NIST (National Institute of Standards and Technology) offre un ensemble de recommandations à destination des fournisseurs d'infrastructures critiques. Pour finir, il est recommandé de mettre en place un chiffrement systématique des données.
cibler l'erreur humaine
L'entreprise Experian indique que plus de 80% des failles qu'elle tente de résoudre ont pour origine la négligence des employés. En d'autres termes, l'erreur humaine fragilise la sécurité. Parmi les erreurs courantes qu'il faut veiller à ne pas commettre figurent :
· le partage de mots de passe
· la perte de matériel
· une sécurité insuffisante au niveau des locaux
· des attaques par hameçonnage ciblées
· l'utilisation de solutions de stockage de fichiers non prévues pour l'entreprise
Il ne faut pas attendre qu'une faille de sécurité survienne pour commencer à former les employés à la sécurité et mettre en place de bonnes pratiques en matière de mots de passe.
contrôler les bugs
En entreprise, les utilisateurs doivent également se préparer à faire face aux vulnérabilités identifiées. L'année 2014 a été balayée par les faiblesses exploitées des bugs Heartbleed et Shellshock. Ces problèmes sont inhérents à la structure d'Internet, ce qui signifie que les fournisseurs de matériel et de systèmes d'exploitation sont les premiers à réagir à ces menaces au fur et à mesure qu'elles apparaissent.
Pour les utilisateurs cela signifie :
· observez les bulletins de sécurité
· assurez-vous d'avoir toujours la dernière version de l'OS et les derniers correctifs de sécurité sur vos systèmes
· préservez l'intégrité des logiciels du système à l'aide des dernières mises à jour
· dressez l'inventaire de tous les appareils et systèmes sur votre réseau.
Disposez-vous toujours de vieux PC connectés à votre réseau qui exécutent des systèmes pas à jour ? Ce sont des vecteurs d'attaque potentiels qui doivent être mis en quarantaine ou remplacés.
planifier
Chaque entreprise doit définir et revoir régulièrement un plan d’intervention pour être prêt en cas d’attaque. Cela concerne le stockage, l’accès au service Cloud, mais aussi les pratiques des employés.
Experian indique que 27% des entreprises n'ont toujours par de plan d'intervention en place en cas d'atteinte à la sécurité des données. Ne rien faire face à un problème d’une telle importance revient à tendre le bâton pour se faire battre. Si vous ne prenez pas de mesures pour vous protéger, pourquoi vos employés prendraient-ils le temps de se former aux risques de sécurité ?
évolution permanente
La technologie est un moteur de changement rapide dans toute l'entreprise. D'un côté il y a les changements de mode de travail soutenus par le BYOB (Bring Your Own Device), la mobilité et l'évolution des services Cloud, et de l'autre, les évolutions des systèmes d'exploitation, comme la fin de XP, le lancement de Windows 10 et les mises à niveau annuelles iOS d'Apple. Les défis se succèdent à un rythme soutenu et l'environnement évolue rapidement.
Résoudre les défis lorsqu’ils se présentent ne suffit pas. Il faut au contraire prendre en compte la sécurité des données comme une évolution constante, en véritable acteur du changement.
Jon Evans
Journaliste professionnel dans le domaine de la technologie depuis 1994.