Les informaticiens trop occupés pour lire le Rapport d’enquête sur les compromissions de données pourront en consulter la synthèse offerte par Verizon. Et pour résumer celle-ci, vous y trouverez sept conseils fondés sur l’analyse de plus de 60 000 incidents de sécurité. Si je devais condenser cette liste en un simple mantra de sécurité, ce serait « limiter, contrôler et superviser les accès ».
La première partie, limiter, est plutôt évidente : s’il y a moins de données sensibles disponibles au grand public des utilisateurs, il y a moins de chances de voir les pirates tomber dessus. L’idée de limitation joue un rôle dans les neuf types d’attaques de base définis par l’équipe de Verizon, mais elle s’avère particulièrement importante dans les « erreurs diverses » au nom si bénin.
Oui, nous avons dû revoir ce point-là également. Verizon a constaté 16 000 incidents relatifs à des erreurs humaines de divulgation d’informations sensibles, essentiellement la publication ou l’envoi accidentel de documents ou la mauvaise configuration de logiciels ayant pour résultat des fuites de données. Comme l’indique Verizon, cela était souvent la conséquence d’un envoi de courriers électroniques en masse par un utilisateur ordinaire ayant accès à des données non ordinaires.
Bien sûr, la meilleure façon de limiter ou d’empêcher cela consiste à savoir qui a accès aux données sensibles de manière injustifiée.
La partie contrôler de mon mantra apparaît dans plusieurs types d’attaques, mais elle est particulièrement présente dans le groupe « Point de vente », lequel représente une minuscule fraction de l’ensemble des incidents, mais quand même 14 % des violations constatées en 2013.
Les solutions recommandées par l’équipe du DBIR de Verizon se résument à des stratégies de mot de passe plus strictes et une authentification à deux facteurs. Dans le contexte des récentes violations dans le domaine de la vente au détail, ajouter ces contrôles supplémentaires des utilisateurs entrant dans le système aurait une incidence énorme.
Enfin, superviser les accès représente un aspect essentiel des contrôles de sécurité critiques de SANS, lesquels constituent la base des recommandations du DBIR de cette année. Ce point est particulièrement pertinent en matière de cyberespionnage et de menace interne, comme le souligne l’équipe de Verizon. Dans les deux cas, les pirates se trouvent pour ainsi dire derrière les lignes : les « taupes » disposent déjà des clés nécessaires et les cyberespions employant des APT furtifs ressemblent à des utilisateurs ordinaires.
Comment minimiser les dommages ? Il vous faut un logiciel automatisé spécial pour superviser en permanence et en temps réel les accès inhabituels, c’est-à-dire les utilisateurs ordinaires effectuant des opérations incongrues sur les fichiers.
Fait intéressant révélé par le DBIR, les pirates ont amélioré leur savoir-faire au cours des quelques dernières années. Ils peuvent désormais entrer et exfiltrer des données en quelques jours seulement. Malheureusement, et pour le dire gentiment, les capacités de détection des violations par les services informatiques ne suivent pas : il leur faut souvent des mois pour découvrir un incident, et seulement après avoir que ce dernier ait été signalé par un client ou un partenaire.
Conclusion : la supervision doit bénéficier d’une priorité très élevée dans n’importe quel budget de sécurité.
Une des sept recommandations de Verizon dit « soyez vigilant ». Bon conseil. Si vous voulez améliorer mon mantra, n’hésitez donc pas à ajouter « avec vigilance ».