Discussion :

[Stéphane le calme]

Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations,
selon un rapport

Une vaste majorité des DSI consacrent maintenant jusqu'à la moitié de leur temps à la sécurité de l'information, à un moment où la transformation et l'innovation occupent également une place prioritaire. L'un des problèmes de sécurité les plus critiques auxquels ils sont confrontés - quelle que soit leur taille, leur situation géographique ou leur secteur d'activité - est la menace interne, qui coûte désormais aux entreprises 8 millions de dollars en moyenne par incident. Pour mieux dessiner ce paysage, Dtex Systems, le spécialiste des menaces internes, a analysé les informations des terminaux utilisés en milieu professionnel mais aussi plus de 300 000 comptes d’employés et de sous-traitants

Le rapport divise les menaces internes en trois catégories :

• les utilisateurs malveillants : les utilisateurs qui se livrent intentionnellement à des activités préjudiciables à l'entreprise, ils sont responsables de 23% des incidents des menaces internes.
• les utilisateurs négligents : les utilisateurs qui introduisent un risque d'initié en raison d'un comportement imprudent ou d'une erreur humaine et qui sont à l'origine de 64% des incidents d'initiés.
• les utilisateurs compromis : les utilisateurs dont les informations d'identification sont compromises et exploitées par des infiltrés externes et sont à l'origine de 13% des incidents d'initiés

Utilisateurs malveillants

Dans une évaluation récente, une institution internationale de services financiers regroupant des milliers d’employés répartis dans le monde a révélé que les utilisateurs étaient toujours en mesure de consulter des sites Web à haut risque censés être bloqués par plusieurs couches de sécurité. Non seulement les solutions n’empêchaient-elles pas les utilisateurs d’avoir accès à des sites Web à risque, en plus l'institution n'était pas en mesure de fournir des données sur la manière dont les utilisateurs pouvaient contourner les couches de sécurité pour obtenir cet accès. Après avoir utilisé Dtex pour suivre un parcours d'activité, il a été découvert que les utilisateurs désactivaient simplement les commandes conçues pour les empêcher de se livrer à des activités dangereuses. Les outils n’étaient pas dotés de dispositifs de protection pour dissuader de telles actions, et aucun d’eux n’a fourni d’alertes lorsqu’ils ont été désactivés.

Dans un autre exemple, Dtex a été utilisé pour identifier un groupe de développeurs pouvant utiliser des privilèges locaux élevés, conférés de manière innée aux fonctionnalités natives du Mac, pour accéder à des sites Web interdits. Les données d'activité des utilisateurs fournies par Dtex ont montré que ces développeurs avaient écrit un script pour tuer leur agent local de terminaison toutes les 5 à 10 secondes. Cela a également aidé à comprendre comment ils ont pu faire cela. Les données d'activité ont révélé qu'en déplaçant leur réseau du VPN de l'entreprise vers le WiFi invité ou un autre réseau, ils ont d'abord été en mesure de contourner le proxy réseau, puis ont activé le script pour tuer de manière cohérente l'agent de terminaison afin de ne pas être bloqué localement lorsqu'ils quittaient le réseau.

En plus de supprimer les contrôles de sécurité, les analystes de Dtex trouvent fréquemment des instances d’utilisateurs les contournant.

Cette année, nous avons constaté une augmentation de l’utilisation d’applications à haut risque, notamment des outils de hacking, des outils réseau et d’autres programmes généralement risqués qui ne sont pas approuvés par l’organisation ou qui ne sont généralement conçus que par des membres spécifiques de l’équipe. Et dans une tendance assez surprenante, de nombreux outils conçus pour constituer un atout pour les équipes informatiques et de sécurité sont désormais utilisés contre eux, permettant aux utilisateurs d’exploiter les lacunes de stratégies ou d’infrastructures.

Le plus souvent, nous constatons que les applications à haut risque vont de pair avec le contournement des contrôles de sécurité. Et comme elles servent de passerelle vers des activités potentiellement nuisibles, l'utilisation de ces applications est généralement considérée comme un comportement malveillant.

Les applications portables

Selon le rapport, 74% des évaluations de cette année ont vu l’utilisation d’applications portables.

Contrairement aux applications traditionnelles, celles-ci sont exécutées à partir d'un lecteur de stockage USB ou dans le cloud et ne nécessitent aucune installation. Étant donné que les stratégies de sécurité héritées reposent généralement sur des autorisations et des paramètres d'installation pour bloquer les logiciels non conformes aux stratégies, les applications portables permettent d'accéder à des logiciels qui ne sont pas non plus autorisés. Et parce qu’elles promettent de « ne pas laisser de traces », les utilisateurs pensent qu’ils couvrent leurs traces.

Nous constatons régulièrement des cas où des utilisateurs ont été trouvés introduisant des applications risquées dans une organisation par ignorance ou par nécessité - y compris par l'utilisation d'applications portables. Cependant, alors que de nombreux utilisateurs exploitent les applications portables pour améliorer leur productivité, d’autres les utilisent pour contourner les configurations et les règles du système, ou pour obscurcir leur activité.

Peu importe l’intention, toute utilisation de ces applications augmente le niveau de risque d’une entreprise et crée de nouvelles vulnérabilités du système.

Les analystes de Dtex ont identifié des cas d'activité de transfert de données à haut risque dans chaque évaluation cette année - en utilisant des applications de cloud ou de partage de fichiers non autorisées, des comptes de messagerie Web personnels ou des clés USB non cryptées. Les résultats de l’année dernière pour cette catégorie particulière portaient uniquement sur le transfert non autorisé de données sensibles via une clé USB non chiffrée, ce qui a été constaté dans 60% des évaluations.

Bien que toutes ces solutions représentent une menace pour la sécurité des données, nos données montrent que la plupart des transferts de données malveillants se font désormais via Internet. Cela ne fait que souligner le fait que le cloud ne représente plus un environnement de menace limité ou moins prioritaire ... et qu’il existe une corrélation entre l’adoption rapide des technologies cloud et la multiplication des tentatives d’exfiltration de données sensibles via des applications cloud.

Dans un exemple très courant observé par nos analystes, une alerte Dtex a été déclenchée par un utilisateur téléchargeant un fichier zip sur son compte Web personnel ... avec un nom correspondant à un logiciel propriétaire en cours de développement. La suite de l'exploration Dtex a identifié le fichier source comme répertoire de développement de l'outil logiciel interne. Étant donné que l'outil était encore en développement et que ces données étaient extrêmement sensibles, les employés qui y travaillaient avaient explicitement pour consigne de ne pas déplacer, copier ou partager ces fichiers - et cet employé a été licencié immédiatement.

Les voies traditionnelles d'exfiltration de données

Bien que la sécurité du cloud soit clairement et naturellement une priorité absolue, il est essentiel que l'attention ne soit pas détournée des voies plus traditionnelles utilisées pour le transfert de données à haut risque: les périphériques de stockage amovibles et les clés USB non cryptées. Même si les clés USB personnelles sont devenues omniprésentes et largement utilisées, les politiques de sécurité ont en grande partie échoué à maintenir et à protéger les données sensibles. Et comme de nombreuses entreprises continuent de s'appuyer sur des outils basés sur des règles pour empêcher ce type de transfert, des utilisateurs sophistiqués trouvent des moyens de contourner ces mesures.

Nos évaluations trouvent systématiquement des exemples de cela. Après avoir reçu une alerte de transfert USB élevée, un client a demandé à des analystes Dtex de mener une enquête. Ils ont rapidement découvert qu'un utilisateur avait transféré près de 50 Go de données d'un emplacement réseau sur une clé USB… et que les données copiées étaient considérées comme les « joyaux de l'entreprise ». Des mesures de sécurité matérielles ont ensuite dû être prises, notamment la surveillance de la résidence de l’utilisateur et la récupération forcée de la clé USB.

Dans les évaluations de cette année, les analystes ont noté une forte augmentation de l’activité de risque de vol. Cette catégorie de comportement particulier a vu le plus grand pic annuel - 59% - dans toutes les catégories, qu'il s'agisse de la catégorie relative à l'utilisateur malveillant, négligent ou compromis.

Parmi les exemples d’activités à risque pour les vols observés par les analystes de Dtex et menés sur les terminaux d’entreprise, citons:

• Modifier les CV et rechercher de nouveaux postes
• Coordonner et accepter les entretiens d'embauche avec les concurrents
• Signer des offres d’emploi concurrentielles
• Effectuer des recherches sur « comment quitter son emploi » et « exemples de questions d’entrevue de départ »

Utilisateurs négligents

Données accessibles publiquement

Les analystes de Dtex ont constaté que les données d'entreprise exposées et accessibles au public sur Internet dans 98% - ou presque - des évaluations réalisées, soit une augmentation de 20% par rapport à l'année précédente. Les exemples de types de données que les analystes ont trouvées en ligne incluent:

• des données RH, y compris les informations personnelles des employés
• de la documentation de conception, y compris des vidéos sur le moteur
• de la documentation avec pour intitulé «client seulement»
• des feuilles de calcul bancaires, y compris les notes de frais de l'entreprise
• des données financières relatives aux dépenses, aux pensions et aux remboursements de prêts

Pour la plupart des entreprises, l’adoption rapide et généralisée des technologies cloud computing a également considérablement accru le risque d’exposition aux données - défini comme des données stockées et défendues de manière inappropriée de sorte qu’elles soient exposées et facilement accessibles. La perte de contrôle liée à l'utilisation du cloud computing entraîne des risques de sécurité inhérents, car il devient beaucoup plus difficile de savoir où se trouvent les données sensibles, où elles circulent et qui y a accès.

Les principaux indicateurs de risque incluent l'utilisation non autorisée par les employés de services cloud (ou l'impossibilité de mettre à disposition des applications cloud agréées), ainsi que le pourcentage croissant de tiers ayant accès aux données.

Les lignes floues entre ce qui est personnel et ce qui appartient à l'entreprise ont également rendu très visibles les fuites de données via les services de stockage de fichiers personnels et les comptes. Un rapport du secteur indique que seulement une entreprise sur cinq (21%) utilise des services de stockage cloud d'entreprise pour son stockage de données principal, tandis que les autres utilisent un service de synchronisation et de partage de fichiers comme Dropbox ou Box, ou des outils natifs comme ceux disponibles avec les solutions d'entreprise G Suite. Pour cette raison, la probabilité que les appareils personnels et les comptes personnels d’un employé se synchronisent automatiquement vers le cloud - et ensuite que ces comptes dans le cloud se synchronisent automatiquement avec leurs appareils de travail - ne fait que croître.

Le risque des parties tierces

Les rapports du secteur montrent que près des deux tiers de toutes les violations de données (63%) résultent non pas d'une pénétration extérieure directe du réseau de l'entreprise, mais bien d'attaques lancées auprès de fournisseurs tiers.

Nous avons récemment vu les dangers d’un accès non autorisé et inconnu à des données sensibles par des tiers, qui ont fait la une des journaux: plus de 24 documents de prêt et hypothèque de certaines des plus grandes banques américaines ont été trouvés en ligne après la défaillance d’un serveur.

Utilisation de son adresse mail personnelle

Bien que cela soit souvent considéré comme une violation de stratégie négligeable, il est important de ne pas négliger l'utilisation du courrier électronique en tant que menace grave pour la sécurité. Nos analystes trouvent systématiquement des preuves des dangers associés aux utilisateurs qui accèdent à des comptes de messagerie personnels sur des terminaux clients, tels que des risques accrus d'infiltration extérieure, d'activité de risque de vol et de vol de données sensibles.

Par la suite le rapport parle également des dangers associés à la visite de sites avec des médias piratés, de sites pornographiques, de sites de jeux en ligne.

Rajan Koo, vice-président de l'ingénierie client chez Dtex et responsable de l'équipe d'analystes des menaces internes, a expliqué que

De nombreuses entreprises ne comprennent pas parfaitement l'impact de la menace interne sur leurs entreprises. Elle n'est pas créée uniquement par des acteurs malveillants tels qu'Edward Snowden, qui sont peu nombreux. La menace interne s'étend à tous les employés, sous-traitants ou autres parties tierces qui ont accès aux données ou subrepticement accès aux réseaux et qui ont le potentiel de mettre en danger les données et les systèmes. Notre rapport annuel sur les menaces internes nous fournit une information précieuse sur ce qu'est la menace interne, son mode de manifestation et la façon de la détecter avant qu'elle ne crée des circonstances catastrophiques.

Source : rapport Dtex

Et vous ?

Avez-vous déjà partagé par inadvertance des données de l'entreprise ?
Êtes-vous déjà rentré avec des données de l'entreprise (par exemple pour finaliser le traitement d'un dossier à domicile) ?
Votre entreprise a-t-elle définie une politique de gestion de ses données ? Laquelle ?

Voir aussi :

Huawei clone des composants Apple, récompense les employés pour vol de technologie, d'autres concurrents ont aussi été victimes, selon un rapport
Une jeune fille de 13 ans gagnerait plus de 1000 $ par jour sur YouTube en créant des vidéos ASMR, selon un rapport
Amazon paiera 0 $ d'impôts fédéraux sur 11,2 Md$ de bénéfices en 2018 selon un rapport, et New-York proteste contre la construction de son siège
Apple gagne des milliards grâce à Google Search chaque année, ce qui représente jusqu'à 23 % des revenus de services d'Apple en 2018, selon un rapport
Golang est mieux payé aux USA que les autres langages et l'ingénieur DevOps est dans le top 5 des emplois IT les mieux payés, selon un rapport

[marsupial]

C'est dingue comme les antivirus et firewalls sont mal conçus : aucun ne vise l'espace entre la chaise et le clavier.

[CoderInTheDark]

J'ai souvent des problèmes avec la sécurité qui me bloque mes logiciels d'accessibilités.
Ils ne les bloquent pas tous, le logiciel propriétaire est moins bloqué que le logiciel libre sous windows.

Une fois en début de stage j'avais le droit de rien installé, et le support était en Roumanie et la communication était compliqué, m'ont même racroché au nez.
J'ai tenté ma chance en utilisant la possibilité que m'offrait l'un des lecteurs d'écran de faire une version portable sur clef USB et de demander à mon tuteur de le le lancer.
Et heureusement ça a marché, sinon le temps que le support réagissent je n'aurai pas bossé pendant presque une semaine.
Mais bon logiquement ils auraient dû limiter les ports USB et l'exécution de logiciel.

L'accessibilité implique parfois un affaiblissement de la sécurité

Pas question de ramener du code et des donner à la maison.
Si j'ai une idée à la maison je me l'envoie par mail.
En plus ça me permets de réfléchir juste sur la portion qui pose problème

Souvent je me fais des fiches en cours de mission, si elles ne concernent pas directement le projet je me les envoie avant de partir.