Atténuer le risque humain pour une meilleure sécurité des données

Toutes les entreprises ne sont pas vulnérables aux mêmes types de menaces, mais elles ont toutes une chose en commun : le facteur humain. En 2014, 24 % des entreprises touchées par une perte de données affirmaient que celles-ci étaient la conséquence d’une erreur humaine.

Pour réduire les risques tant en matière de perte que de violations de données, voici un rappel des trois principales mesures au sujet desquelles les PME devraient se montrer particulièrement vigilantes :

1. Limiter l'accès aux données sensibles

Une des erreurs les plus fréquentes de la part des employés est d'envoyer des documents sensibles aux mauvais destinataires.

Le transfert de documents de travail vers un courriel personnel, un site de partage de fichier peu protégé ou vers une clé USB comporte également des risques – par exemple une clé USB peut facilement être infectée et diffuser un malware sur un ordinateur personnel ou le réseau de l’entreprise.

Pour réduire le facteur de risque lié aux erreurs humaines, une entreprise devrait déployer des contrôles de sécuritépour surveiller qui a accès à quelles données. Les autres mesures de protection et de sécurité des données indispensables comprennent :

• La gestion et la surveillance des privilèges de l'utilisateur final,
• La vérification d'antécédents sur les activités en ligne d'un employé avant de lui accorder un accès privilégié,
• Un contrôle de l’accès aux différentes parties du réseau.

Les employés sans privilèges ne sont pas les seuls dont les activités devraient être surveillées. Même s’ils peuvent se targuer d’avoir des « superpouvoirs », les administrateurs système qualifiés font parfois des erreurs.

Certains rapports mettent en avant les erreurs de configuration système, les mauvaises pratiques de patch management et l'utilisation de noms génériques et de mots de passe par défaut comme certaines de leurs erreurs les plus courantes.

Un autre facteur de risque est lié aux prestataires et éditeurs tiers. Les failles de sécurité liées aux services de ces éditeurs et prestataires se sont manifestées dans des secteurs tels que le retail, l’hôtellerie, les organismes de santé et bien d’autres dans lesquels le recours à des prestataires externes est de plus en plus fréquent pour assurer le fonctionnement des entreprises. Au Royaume-Uni par exemple, 18% des failles graves seraient liées à des défaillances de prestataires externes.

Le risque potentiel posé par le recours à des prestataires a particulièrement été mis en lumière à la suite de la fuite de données intervenue chez Target en 2013. Depuis ce type de fuite a touché des entreprises de toutes tailles à travers le monde.

Cela est lié au fait que les prestataires se comportent comme des membres de l’entreprise mais ne disposent en réalité que d’un accès partiel aux informations de celle-ci.

Pour atténuer cette menace, la mise en place de procédures de sécurité est l’élément clé – commencez par une évaluation complète des risques et effectuez des tests de pénétration complets.

Ces deux actions devraient être effectuées par un organisme fiable et indépendant. Les droits d'accès doivent également être constamment revus. Aussi, assurez-vous que les données sont protégées même si elles ne se trouvent pas dans votre propre réseau ou qu’elles sont protégées correctement par une autre entité (dans un cloud externe par exemple).

2. Éduquer sur la cyber-sécurité

La négligence humaine – due à de l’inattention ou un manque de connaissance – est largement exploitée par les cybercriminels. Obtenir des informations d’un employé à son insu est plus simple que de lancer une attaque contre les défenses bien établies d’un réseau – c’est ce qu’on appelle le social engineering.

Le spear phishing est particulièrement utilisé et consiste à envoyer un e-mail de phishing ciblé sur un employé dont la fonction au sein de l’entreprise permettra au cybercriminel d’accéder à des informations de niveau important. Il peut ainsi l’inciter via une arnaque à ouvrir une pièce jointe malveillante qui infectera sa machine et ouvrira un accès au réseau de l’entreprise ou encore lui faire fournir des données confidentielles via de fausses pages web ou demandes en apparence officielles.

Les autres pratiques à risques incluent la connexion d’ordinateurs à Internet via un réseau Wifi non sécurisé, le partage et la réutilisation d’un mot de passe, le BYOD (Bring Your Own Device) via l’utilisation d’un appareil non sécurisé ou encore la perte ou le vol d’un appareil lors de déplacements professionnels.

Voilà pourquoi l'éducation des employés sur la façon de reconnaître les escroqueries et d'éviter les e-menaces est essentielle pour préserver le niveau de sécurité de l’entreprise.

3. Si la première ligne de défense échoue…

La protection la plus efficace contre le risque humain reste la technologie. Par exemple, des solutions de sécurité intégrant des micro-machines virtuelles permettent de vérifier tout processus, fichiers et applications avant que ceux-ci ne soit exécuté sur une machine.

Si un processus non fiable tente de fonctionner sur un ordinateur, (par exemple : un employé qui ouvre un fichier, clique sur un e-mail douteux ou télécharge depuis une source non fiable)  il sera automatiquement bloqué.

En appliquant ces trois conseils, vous limiterez en grande partie les « risques humains ».

Et vous, que pensez-vous du « risque humain » en entreprise ? Avez-vous une expérience à partager ?