in

N'oubliez pas de verrouiller votre backdoor à temps pour se conformer au GDPR – Par Par David Williamson, EfficientIP

Lors de la récente conférence RSA à San Francisco, la question du Règlement général sur la protection des données de l’Union européenne (GDPR) et de son impact juridique a été posée aux avocats de plusieurs sociétés multinationales spécialisées en informatique. Presque toutes ont affirmé être « en bonne voie » de se conformer au règlement, mais avec l’entrée en vigueur du Règlement GDPR prévue le 25 mai 2018, ces entreprises n’ont plus le temps d’atteindre leurs objectifs. Le surcroît d’incertitude que doivent éprouver les entreprises avec le résultat du référendum britannique sur l’UE (Brexit) fait que plusieurs autres aspects doivent être pris en compte à l’image de la souveraineté et sécurité des données, mais également l’autorité de tutelle.

Les principes de protection des données énoncés par le Règlement GDPR vont très loin, et les entreprises s’y conformeront très probablement à la lettre. La législation a pour principal objectif d’assurer la sécurité des données des citoyens européens. Il est important que toutes les entreprises s’y conforment car leurs clients leur confient leurs données et ces derniers s’attendent en retour à ce que leurs données soient en sécurité.

Si l’on tient compte de cela, et également du fait que le Règlement GDPR et ses éléments constitutifs ont été débattus pendant un certain temps, il est inquiétant d’entendre qu’elles sont « très peu nombreuses » à prendre la question au sérieux. Le non-respect de la loi expose à des amendes élevées – comprises entre 2% et 4% du chiffre d’affaires mondial ; ainsi qu’à des sanctions qui peuvent contraindre les entreprises à cesser de traiter les données des utilisateurs.

Des risques considérables

Pour de nombreuses entreprises, le vaste ensemble de règles énoncées exige une révision complète de la manière dont sont gérées et sécurisées les données des clients. Cela couvre également les technologies utilisées par l’entreprise pour traiter ces données. Une technologie qui est souvent négligée est celle du serveur de noms de domaine (DNS), protocole qu’utilisent les ordinateurs pour échanger les données et se retrouver les uns les autres en transformant les noms de domaine en adresses IP (protocole Internet).

Une des vulnérabilités à prendre en compte par tous les professionnels de l’informatique, outre le C-Suite, est l’exfiltration de données via le DNS. Celle-ci s’inscrit souvent dans le cadre d’une attaque menaçante persistante qui devrait inquiéter les entreprises étant en train de devenir conformes au Règlement GDPR. Et les problèmes et risques de sécurité posés par le DNS sont nombreux : le piratage, à savoir le détournement du compte commercial détenu chez un registraire DNS, le typosquatting (également connu sous le nom de détournement d’URL) ou encore l’empoisonnement du cache, par lequel les attaquants exploitent les serveurs mal configurés, ce qui leur permet ensuite d’injecter des informations d’adresse sans cohérence avec le cache initial.
Si ces risques peuvent tous être mis à profit pour compromettre la sécurité des entreprises et des données d’accès, l’exfiltration de ces données peut être camouflée par ce type d’attaques. Ce type d’attaque est connue pour fournir 18 000 numéros de carte de crédit par minute au serveur d’un attaquant.

Atténuer les risques

La principale raison pour laquelle les attaquants utilisent le DNS comme vecteur de menace est que les technologies permettant de bloquer l’exfiltration via Hypertext Transfer Protocol (HTTP) et FTP sont très évoluées. Les outils de sécurité traditionnels, notamment les pare-feu, se concentrent sur les itinéraires d’exfiltration plus faciles, ce qui oblige les attaquants à explorer et à expérimenter d’autres méthodes.

Ces routes alternatives convergent vers le DNS car il est très facile de masquer les comportements malveillants avec le trafic normal. Les serveurs de DNS sont constamment occupés par le trafic Internet et Bring Your Own Device (BYOD) et le WiFi client n’étant pas encore dénués de problèmes, l’accès au DNS par des périphériques inconnus de l’entreprise peut devenir un événement quotidien.

Beaucoup d’entreprises se vantent des excellents outils de sécurité qu’elles déploient en mettant l’accent sur la prévention de la perte de données, mais la manière dont le DNS peut être négligé est déconcertante. Or, l’ignorer constitue un péril, car il est utilisé chaque jour par des assaillants pour tenter de contourner les périmètres de sécurité.

Pour atténuer ces risques et assurer la conformité au Règlement GDPR, il est nécessaire de déployer des outils qui fonctionnent sur les serveurs de DNS et qui permettent d’analyser le trafic de DNS et d’identifier les attaques, en utilisant l’analyse des transactions en temps réel. Cela permet à quiconque de bloquer l’exfiltration de données dès qu’elle apparaît.

Conformez-vous au Règlement GDPR dès aujourd’hui

Les cyber-attaques sont un phénomène du quotidien, et dès qu’une backdoor se referme, leurs vecteurs s’adaptent. Il est évident que les données des clients sont extrêmement précieuses pour les entreprises, mais elles le sont encore plus pour les attaquants. En sachant cela, et avec la législation proposée par le Règlement GDPR, ainsi que face à l’incertitude quant aux répercussions du Brexit pour les données, le paysage de la sécurité devient de plus en plus traître.

Veiller à ce que la sécurité désignée pour les besoins maximaux soit également appliquée aux cas moins critiques, paiera des dividendes à l’avenir. Rester en veille en matière de sécurité de DNS peut vous aider à respecter le Règlement GDPR, mais rappelez-vous qu’il ne s’agit pas uniquement d’éviter les violations. Le cas échéant, il sera impératif de signaler toute attaque le plus rapidement possible à l’organisme de protection des données compétent (par exemple, au Royaume-Uni, à l’ICO). Par conséquent, disposer des bons outils pour envoyer une alerte est tout aussi important. Le Règlement GDPR exige un signalement dans les 72 heures.

Le Règlement GDPR devient loi pour garantir la sécurité maximale des entreprises et le législateur ne tolérera aucune défaillance. Cela impose aux entreprises non seulement de chercher à protéger leurs bases de données, mais également chaque partie du réseau, qui par construction tourne autour d’IP et du DNS. Après tout, quelle entreprise souhaite voir sa réputation ternie ?

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.