Vos données valent de l’or sur le dark web. Quelles sont les bonnes pratiques à adopter pour la cybersécurité de votre entreprise?
Pour protéger vos données informatiques, assurez-vous d’avoir une bonne posture de sécurité informatique :
Afin d’assurer une protection optimale de vos données informatiques en entreprise, il faut comprendre les façons dont les cybercriminels travaillent. Comment accèdent-ils à vos données?
Ils volent vos informations d’identification, soit en utilisant des courriels d’hameçonnage envoyés à vos utilisateurs, soit en exploitant des vulnérabilités dans vos systèmes et dans vos applications qui ne sont pas à jour. Ensuite, ils déterminent quelles sont vos données les plus sensibles afin de les exploiter.
Voici les bonnes pratiques pour améliorer votre protection.
Classez vos données selon leur importance
La classification des données devrait être la première étape de toute tentative d’amélioration de votre posture de sécurité informatique. Pour protéger vos données, voici quelques questions clés auxquelles vous devez répondre AVANT de commencer à mettre en place des contrôles efficaces dans le cadre de la gouvernance :
- Quelles sont les données que vous avez à protéger?
- Quel est le degré de sensibilité de ces données?
- Où se trouvent ces données?
- Qui a accès aux données et quand ces personnes y ont-elles accédé la dernière fois?
Une fois que vous êtes en mesure de bien répondre à ces questions, vous pouvez commencer à bâtir une défense en protégeant vos données les plus critiques selon le niveau de risque de votre entreprise. Trop souvent, les organisations dépensent beaucoup d’argent pour des contrôles afin d’atténuer les attaques, sans jamais franchir cette première étape cruciale.
Faites attention aux menaces internes
Rappelons qu’une attaque de rançongiciel est le fait d’entrer dans vos systèmes et de prendre possession de vos données en les chiffrant et en compromettant vos copies de sauvegarde.
Les criminels vous demanderont une rançon en échange de la clé de chiffrement qui vous permettra de récupérer vos données. Toutefois, dans plusieurs cas, même si vous payez la rançon, vos données seront déjà rendues accessibles pour d’autres organisations criminelles sur le web caché (dark web). C’est le modèle d’extorsions multiples où un second levier peut être utilisé par le chantage, ou pire, vous faire perdre à jamais l’accès à vos données, puisque la vente de ces données sur le web caché (dark web) sera plus intéressante pour les criminels. D’où l’importance de vous en prémunir.
Toutefois, la menace pour vos données peut aussi provenir de l’intérieur et vous devez aussi en tenir compte dans votre plan de protection. En voici quelques exemples, ci-dessous.
Travailleurs négligents
Les travailleurs négligents peuvent mettre involontairement l’organisation en danger :
- stockage des données sensibles sur une clé USB ou un disque non chiffré;
- ordinateur portable ou autre appareil laissé sans surveillance, où ces données pourraient être volées;
- documents confidentiels laissés sur un bureau.
Fin de contrat d’employés
Des employés dont le contrat est interrompu ou qui partent volontairement pourraient emporter des données de l’organisation :
- propriété intellectuelle ou données de l’entreprise générées ou utilisées par l’employé;
- liste de vos clients;
- secrets commerciaux.
Entrave à la productivité
Des employés pourraient contourner la sécurité parce qu’ils la considèrent comme une entrave à leur productivité :
- sauvegarde des fichiers sur un disque dur personnel;
- utilisation d’applications non approuvées par l’organisation;
- collaboration non approuvée.
Employés malveillants
Des employés malveillants qui ont un grief contre une entreprise pourraient choisir d’agir en conséquence :
- divulguer des données confidentielles;
- commettre des actes de sabotage;
- modifier ou supprimer des données sensibles.
Agents infiltrés
Des agents infiltrés travaillant pour le compte d’un groupe externe pourraient vouloir commettre une violation de données ou une autre attaque d’espionnage industriel et permettre à un groupe extérieur d’obtenir l’accès et les privilèges de l’utilisateur. Ces initiés peuvent être:
- malveillants;
- trompés par l’ingénierie sociale;
- contraints par la corruption ou le chantage.
Partenaires tiers
Notez que des partenaires tiers peuvent représenter les mêmes menaces et causer les mêmes dommages que les employés d’une organisation ayant un accès similaire.
Selon Threatpost, 94 % des organisations fournissent à leurs vendeurs, fournisseurs, partenaires et autres un accès à leurs réseaux et à leurs systèmes et 72 % de ces tiers disposent de permissions élevées sur ces systèmes.
S’ils ont une mauvaise hygiène en matière de cybersécurité, ils vous font courir un risque chaque fois qu’ils se connectent à vos systèmes.
Optez pour les meilleurs moyens de protection
Lorsque vous avez effectué une classification des données, il existe des moyens concrets et simples de protéger vos données les plus sensibles et les plus critiques contre tout type d’attaque.
Chiffrement
Rendez vos données virtuellement illisibles par quiconque ne possède pas la clé, tant pendant leur stockage que lorsqu’elles sont en transit ou en cours d’utilisation.
Sauvegardes sécurisées et hors ligne
Assurez-vous que vos sauvegardes ne sont pas uniquement en ligne, faute de quoi elles pourraient également être compromises, ce qui en rendrait la restauration impossible.
Élimination de la modification, de la suppression et du déplacement non autorisés des fichiers
Si vous utilisez Active Directory (AD), il existe des solutions simples qui permettent de protéger vos données non structurées et de mettre en place une surveillance de votre empreinte sur le web caché.
Filtrage des menaces par courriel
Aucune solution ne pourra supprimer l’ensemble des nuisances et des attaques, mais en éliminant la plupart d’entre elles, vous réduirez considérablement votre surface d’attaque et vos risques.
Sensibilisation des utilisateurs
Vos utilisateurs ont des téléphones, des tablettes et des comptes de médias sociaux. Assurez-vous qu’ils sont sensibilisés aux dangers que ces éléments représentent pour l’organisation.
Politique en matière de mots de passe
Combien de vos utilisateurs ont pour leurs comptes de médias sociaux ou leurs comptes bancaires le même mot de passe que celui qu’ils utilisent au travail?
Authentification multifacteur
Le second facteur statique n’est plus suffisant, et il ne l’est plus depuis longtemps. Vous avez besoin d’une solution qui intègre l’heure et le lieu ainsi que d’autres attributs pour protéger l’accès de vos données à distance.
Accès des fournisseurs tiers et des superadministrateurs
Vous avez besoin d’un processus d’approbation pour tous les accès externes et internes aux systèmes sensibles, ainsi que d’une trace d’audit complète et d’un enregistrement indexé de chaque action, y compris des commandes.
Détection et réponse gérées 24 h/24, 365 jours par année
La surveillance de vos fichiers, de vos postes de travail, de vos serveurs, de vos réseaux, de vos boîtes de courriel ainsi que du comportement de vos utilisateurs doit être effectuée en permanence et inclure l’atténuation des risques, l’isolation et la remédiation automatisées en temps réel.
Modèle zéro confiance (Zero Trust)
Ce modèle de sécurité innovant garantit une connexion sécurisée en éliminant la confiance transitive et en identifiant et authentifiant en permanence chaque appareil et chaque utilisateur avant de leur donner accès aux applications du réseau. Vos utilisateurs sur place et à distance peuvent se connecter en toute sécurité à leur environnement de travail grâce à l’identification fiable de l’usager et du terminal et à l’authentification multifacteur et biométrique.
Il faut bâtir votre protection des données en plusieurs couches, avec des contrôles redondants, afin de rendre l’accès à vos données plus difficile pour les cybercriminels. Aucune solution unique ne permettra d’éliminer toutes les menaces. Toutefois, en sachant quelle est votre posture de sécurité informatique et quelles données informatiques doivent être protégées afin de préserver la vitalité de votre entreprise, vous assurez à votre entreprise une solide protection contre les cyberattaques.
Cet article a été rédigé en collaboration avec Harold Walker, directeur principal de VARS, une filiale de Raymond Chabot Grant Thornton, spécialisée en cybersécurité.