Ciel mes données !

Les cybercriminels du groupe Lockbit n’ont pas attendu longtemps avant de mettre leur menace à exécution : ils ont diffusé une partie des données (11 Go de contenus sensibles) volées lors de la cyberattaque de l’hôpital de Corbeil-Essonnes révélée fin août. 

Comme si cela ne suffisait pas d’être à l’arrêt pour cause de données chiffrées, les cybercriminels utilisent la double extorsion : menacer publiquement de publier les données (bien trop souvent sensibles) volées pour les revendre au plus offrant. Les victimes de fuites de données ne se comptent plus : Samsung, MBDA, Orange Cyberdefense, Uber, le Pôle universitaire Léonard de Vinci… Pour les entreprises victimes, cette situation peut constituer un risque de violation majeure des réglementations RGPD de l’UE et des lois sur la confidentialité des données. Les groupes de ransomware Conti et REvil figurant parmi les plus actifs en 2021 sont par exemple connus pour publier des données divulguées sur le Darknet si des rançons ne sont pas payées.

« 63 % des fuites de données sont le fait d’acteurs internes. Avec l’essor du télétravail, les entreprises peinent à gérer l’explosion à la fois des données et des identités ayant accès à leurs serveurs. Nous avons constaté que 85 % des employés ont un accès qui dépasse les besoins de leur rôle » complète Hicham Bouali, directeur technique One Identity. 

La dernière étude de ThreatQuotient, dont la publication intégrale est prévue pour la fin de l’année 2022, montre une progression de l’adoption de l’automatisation des opérations de sécurité, comme en témoigne l’augmentation des budgets y afférents dans 98 % des entreprises. Les statistiques indiquent également que les entreprises font de plus en plus confiance à l’automatisation. Elles sont plus de 88 % à être raisonnablement confiantes, contre seulement 59 % l’année précédente. En revanche, 98 % d’entre elles ont rencontré des problèmes lors de l’implémentation.

Si le rançongiciel semble être sur toutes les lèvres et la menace qui occupe tous les esprits, les organisations estiment d’ailleurs que les menaces externes font peser le risque le plus important à 49 % (IDC), elles sont 14 % à créditer les menaces internes d’un niveau de gravité supérieur. 

Les menaces internes ont un avantage énorme du simple fait qu’il est dans la nature humaine de présumer de bonnes intentions de son entourage. Mais le fait est que personne ne peut embaucher 50 ou 100 salariés sans courir le risque bien réel de tomber sur un ou deux collaborateurs malveillants. 

Or, un employé mécontent, qui veut nuire à son entreprise, peut enregistrer des fichiers sensibles sur une clé USB avant de claquer la porte. On craint même de plus en plus qu’il introduise des logiciels corrompus dans le système.

Aujourd’hui, un grand nombre d’attaques par ransomware pourraient en fait émaner de l’intérieur de l’organisation. Il est très facile pour un administrateur informatique de se créer un profil sur le Dark Web, de lui donner accès au système pour y installer un logiciel malveillant, puis de demander une rançon et, en tant qu’administrateur, de conseiller à l’entreprise de la payer. Et s’il ne le fait pas, d’autres pourront lui demander de le faire pour eux, moyennant rémunération (ce qui s’est déjà vu, notamment aux Etats-Unis où un salarié de la Giga Factory de Tesla s’est vu offrir un million de dollars pour ouvrir les portes du système d’information).

A titre d’exemple, selon un rapport de Varonis, un nouvel employé dans le secteur de la santé a accès à 31 000 fichiers sensibles dès son premier jour de travail. Un chiffre qui fait froid dans le dos… « Il s’agit donc de réduire au maximum le rayon d’action -les utilisateurs ne peuvent accéder qu’à ce dont ils ont besoin- et à détecter les accès inhabituels qui pourraient indiquer qu’une attaque est en cours. Chaque étape de validation supplémentaire est une nouvelle façon d’éloigner un attaquant ou un initié et ainsi potentiellement de contrecarrer une attaque » explique Damien Frey, expert en cybersécurité chez Varonis.

Selon le dernier rapport de Varonis, toute entreprise ayant des données hébergées dans le cloud est confrontée à un risque de fuite de données dont le coût est estimé à 28 millions de dollars. L’étude indique qu’une gestion collaborative mal sécurisée, que des droits d’accès complexes et des configurations erronées telles que des comptes administrateur sans authentification multifactorielle (MFA), ont exposé une grande quantité de données hébergées dans le cloud à des menaces internes et à des cyberattaques.

Modèle éprouvé pour la mise en œuvre d’une sécurité robuste à grande échelle, le modèle Zero-Trust s’est rapidement imposé comme une nécessité pour la résilience des entreprises. Il y a quelques mois, une étude menée par One Identity révélait que 75 % des RSSI considéraient l’approche Zero Trust comme cruciale – ou à minima très importante – dans le renforcement de leur stratégie de cybersécurité globale. 

La première étape pour initier une telle démarche consiste à faire l’inventaire des données les plus critiques, c’est-à-dire celles que les attaquants chercheront à atteindre. Où se trouvent la propriété intellectuelle, le code source, les dossiers clients et employés ? L’étape suivante consiste à faire l’inventaire des contrôles qui entourent les données critiques. Les bonnes personnes y ont-elles accès, tant à l’intérieur qu’à l’extérieur de l’entreprise ? Êtes-vous en mesure de repérer toute activité inhabituelle sur ces données critiques ? Si une configuration critique était modifiée, qu’est-ce qui permettrait de la repérer et de la rétablir ? « Une fois que vous avez fait l’inventaire de vos données critiques et de leur contrôle, vous pouvez vous concentrer sur des mesures concrètes pour optimiser et maintenir ces contrôles » explique Damien Frey, expert en cybersécurité chez Varonis.

Damien Frey, Varonis : « Lorsque les équipes IT ne maîtrisent pas la gestion et la protection des données issues des applications utilisées en mode SaaS et IaaS, il leur est alors presque impossible d’empêcher les fuites de données »

Hicham Bouali, One Identity : « Aujourd’hui, près de la moitié des entreprises utilisent plus de 25 systèmes différents pour gérer les droits d’accès, ce qui se traduit par une approche fragmentée de la sécurité des identités et une vulnérabilité importante aux attaques » 

Olivier Prompt, Atos : « L’IDaaS est l’un des segments de marché en plus forte croissance, car il offre des intégrations adaptées au cloud pour étendre les contrôles IAM d’une entreprise et répondre aux exigences de sécurité d’un portefeuille SaaS en pleine expansion »

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.