in e-Business

Etude Varonis : Près d’une entreprise sur deux laisse au moins 1 000 fichiers sensibles en accès libre à tous ses employés

Données obsolètes et autorisations excessives sur les fichiers continuent d’exposer les entreprises à des menaces internes et aux rançongiciels.

Varonis Systems, Inc., principal fournisseur de solutions logicielles protégeant les données des menaces internes et des cyberattaques, dévoile les conclusions de la nouvelle édition du « Varonis Data Risk Report », qui montrent qu’au sein des entreprises le niveau d’exposition aux risques des fichiers sensibles atteint un niveau alarmant. En moyenne, pas moins de 20 % des dossiers seraient laissés en accès libre à l’ensemble des employés.

S’appuyant sur sa plateforme DSP (Data Security Platform), Varonis a mené plus de mille évaluations de risques sur un sous-ensemble de systèmes de fichiers appartenant à des clients existants et potentiels. Cette étude donne un aperçu des risques associés aux données des entreprises, identifie l’emplacement des données sensibles et réglementaires, révèle les zones à risque élevé et surexposées, et formule des recommandations visant à accroître le dispositif de sécurité des entreprises.

Chiffres clés issus des conclusions du rapport :

  • 236,5 millions de dossiers, contenant 2,8 milliards de fichiers, soit 3,79 pétaoctets de données, ont été analysés.
  • Sur ce total, 48 054 198 dossiers étaient ouverts aux « groupes d’accès globaux » ou à des groupes accordant l’accès à toute l’entreprise.
  • 47 % des entreprises laissent au moins 1 000 fichiers sensibles ouverts à tous les employés ; pour 22 % d’entre elles, ce chiffre monte même à 12 000 fichiers sensibles laissés en accès libre à tous leurs employés.
  • 71 % de l’ensemble des dossiers contiennent des données obsolètes, soit un total de près de 2 pétaoctets de données.
  • 24,4 millions de dossiers sont associés à des autorisations uniques, ce qui augmente la complexité et rend difficile pour les entreprises la mise en place du principe du moindre privilège et le respect de réglementations telles que le Règlement général sur la protection des données (General Data Protection Regulation, GDPR).

L’incapacité des entreprises à réduire l’utilisation des groupes d’accès globaux, à verrouiller les fichiers sensibles et à supprimer les données obsolètes les expose à un risque de piratage de leurs données, à des menaces internes et à des attaques par rançongiciel aux conséquences dévastatrices. Selon une récente étude du Ponemon Institute, 62 % des utilisateurs finaux affirment avoir accès à des données de l’entreprise qu’ils ne devraient probablement pas pouvoir consulter. Par ailleurs, une étude de Forrester Consulting a conclu que 59 % des entreprises n’appliquaient pas de modèle d’autorisation selon le principe du « need-to-know » (besoin de savoir) pour autoriser l’accès à leurs fichiers sensibles.

Risques individuels encourus par les entreprises identifiés au cours de ces évaluations :

  • 35 % des 86,4 millions de dossiers d’une compagnie d’assurance étaient laissés en accès libre à l’ensemble des employés.
  • 80 % des 245 575 fichiers sensibles d’un établissement bancaire étaient accessibles à l’ensemble de ses employés.
  • Un autre établissement bancaire disposait de 11,6 millions de dossiers associés à des autorisations uniques, ce qui entravait sa démarche de réduction de l’accès aux fichiers selon le principe du « need-to-know ».

« Dans les cas de piratage de données et d’attaques par ransomware, les fichiers sont ciblés en raison de leur degré de sensibilité et sont généralement vulnérables à une mauvaise utilisation faite en interne ou en externe par des utilisateurs qui franchissent le périmètre. Si les entreprises portent aujourd’hui leur attention sur les mécanismes de défense externes et la neutralisation des menaces, les données en elles-mêmes restent encore trop souvent largement accessibles et non surveillées », affirme Norman Girard, Vice-Président et directeur général Europe de Varonis. « Les entreprises participent à nos évaluations des risques parce qu’elles ont conscience de la valeur de leurs données et des risques encourus en cas de vol ou d’utilisation abusive. Nous louons les efforts accomplis, qui constituent les premiers pas vers une stratégie d’atténuation des risques. »

Selon une étude client réalisée par TechValidate, 68 % des entreprises réalisent une évaluation des risques pour mesurer leurs préoccupations liées à la sécurité, 89 % bénéficient de l’identification de leurs données à risque classées et sensibles, et 82 % placent la question de l’accès généralisé au premier rang de leurs priorités après avoir pris connaissance des résultats.

Le rapport Varonis consacré aux risques liés aux données présente les conclusions d’un échantillon de 80 évaluations de risques menées auprès de clients et de clients potentiels entre janvier et décembre 2016 dans 12 pays et 33 secteurs d’activités, au sein d’entreprises comptant entre 50 et 10 000 employés. Tous les identificateurs des entreprises ont été supprimés.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.