Blog Sécurité des données

Des fuites sur les serveurs de la Nouvelle-Zélande démontrent la nécessité de la gouvernance des informations

Comment un rapport de permissions aurait pu empêcher les fuites des serveurs néo-zélandais Cette semaine, Keith Ng a écrit un article sur son blog à propos d’une énorme faille de...
David Gibson
3 minute de lecture
Dernière mise à jour 17 août 2022

Contents

    Comment un rapport de permissions aurait pu empêcher les fuites des serveurs néo-zélandais

    Cette semaine, Keith Ng a écrit un article sur son blog à propos d’une énorme faille de sécurité dans le réseau du Ministère des affaires sociales de la Nouvelle-Zélande. Il a pu entrer dans un kiosque public dans le Work and Income Office et, sans usurper un mot de passe ni utiliser un cheval de Troie, obtenir un accès immédiat à des milliers de fichiers sensibles.

    À quel point ces fichiers étaient-ils sensibles, demanderez-vous ? Entre autres choses, Ng a pu parcourir, lire et modifier les données suivantes :

    • Factures et autres données financières
    • Fichiers-journaux du centre d’appels
    • Fichiers associant des enfants et des ordonnances médicales
    • Identités d’enfants inscrits dans des programmes pour besoins particuliers

    Effrayant.

    Comment en est-on arrivé là ?

    Deux possibilités :

    1. La session ouverte sur les kiosques disposait des permissions d’administrateur (par exemple Administrateur de domaine) avec accès complet à toutes les données sur le réseau

    2. La session ouverte sur les kiosques correspondait à un compte « normal », mais les permissions de partage de fichiers étaient incorrectes, permettant un accès global

    J’ai beaucoup de mal à croire qu’une session d’administrateur ait pu être ouverte sur les kiosques, mais on ne peut pas l’exclure. L’autre cause, à savoir des permissions excessives/incorrectes, est en réalité un problème auquel nous sommes très souvent confrontés chez Varonis, littéralement chaque semaine, avec nos clients.

    Qu’aurait-on pu faire pour prévenir le problème ?

    Débrancher les kiosques est seulement une première étape. Ce ne sont pas les kiosques qui sont le problème. Il existe des problèmes bien plus graves de gouvernances des informations au cœur de cette fuite de données.

    Voici quelques conseils qui vous aideront à traiter la cause sous-jacente, et pas seulement le déclencheur :

    1. Localisez les données exposées et sensibles

    • Utilisez un cadre de classification des données pour analyser vos serveurs de fichiers et déterminer où se trouve votre contenu le plus sensible, et où il est exposé à trop d’utilisateurs

    Une fois que vous avez localisé les éléments sensibles, assurez-vous que seules les personnes qui doivent y avoir accès y ont effectivement accès, et surveillez l’activité sur les données sensibles pour vous assurer que les utilisateurs autorisés ne font pas un usage inapproprié de leur accès.

    Un agent de sécurité d’entreprise a besoin d’une solution qui lui dise à tout moment où sont exactement ses données sensibles, où elles sont surexposées, et qui y accède. Si quelqu’un crée un fichier avec un numéro de sécurité sociale ou un identifiant de patient et le place sur un dossier partagé accessible depuis un kiosque, l’équipe responsable de la sécurité doit être alertée automatiquement.

    2. Identifiez et supprimez les groupes d’accès globaux des listes de contrôle d’accès

    • Déterminez où les groupes « Tout le monde » ou « Utilisateurs identifiés » apparaissent dans les listes de contrôle d’accès et supprimez-les

    Cela peut être difficile parce que a) il n’est pas évident de consulter toutes les listes de contrôle d’accès sur tous les serveurs de fichiers ou les serveurs NAS à la recherche de « Tout le monde », et b) vous devez supprimer l’accès global sans couper l’accès aux personnes qui en ont réellement besoin.

    3. Surveillez vos super-utilisateurs

    • Configurez des alertes pour tous les cas où quelqu’un reçoit des privilèges de super-utilisateur/administrateur
    • Examinez régulièrement la liste des gens qui ont un accès privilégié
    • Examinez votre piste d’audit pour voir ce que les super-utilisateurs font de leurs droits spéciaux

    Même dans l’hypothèse où ces kiosques étaient par erreur configurés pour ouvrir une session d’administrateur, un examen de l’activité d’accès réalisé par le Ministère lui aurait sans doute permis de remarquer une quantité anormale d’activité d’administrateur depuis les adresses IP des kiosques publics.

    4. Définissez des propriétaires de données et impliquez-les

    • L’accès aux enregistrements médicaux d’enfants, par exemple, devrait être accordé, non par le département informatique, mais par l’unité opérationnelle responsable de la gestion des patients (par exemple un directeur médical).

    En transférant cette responsabilité aux personnes qui sont le mieux à même de prendre des décisions de contrôle d’accès (c’est-à-dire les propriétaires des données), non seulement vous obtenez de meilleures décisions, mais vous soulagez également le département informatique d’une partie de son fardeau.

    À quel point cela est-il difficile ?

    Beaucoup des réactions aux articles de Ng suggèrent qu’il s’agit d’erreurs de débutants, et de non-respect de principes élémentaires. Je peux vous assurer que la gouvernance des données est beaucoup plus difficile qu’on ne le pense ordinairement, spécialement à une époque où les données prolifèrent, étant créées et reproduites à une cadence infernale.

    À ces commentateurs, j’aimerais poser une question simple : sans solution automatisée, comment le département informatique de ce ministère pourrait-il savoir quels dossiers sont par erreur accessibles à tous ?

    Cela prend 30 secondes à une personne agacée pour ajouter « Tout le monde » à une liste de contrôle d’accès, mais trouver et corriger cette erreur de contrôle d’accès peut prendre des années. Pire encore : une fois le problème identifié, comment savoir si les données surexposées n’ont pas été volées par une personne moins bien intentionnée que Keith Ng ?

    Voilà la question que doit à présent se poser le gouvernement néo-zélandais.

    Quelle est l’état de votre protection des données ?

    Si vous souhaitez obtenir une évaluation gratuite de la sécurité des données offerte par Varonis, contactez-nous

    The post Des fuites sur les serveurs de la Nouvelle-Zélande démontrent la nécessité de la gouvernance des informations appeared first on Varonis Français.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    David Gibson
    David Gibson David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    la-plateforme-de-sécurité-des-données-varonis-mentionnée-dans-le-guide-d’achat-des-produits-d’audit-et-de-protection-des-données-2017-de-gartner
    La Plateforme de sécurité des données Varonis mentionnée dans le Guide d’achat des produits d’audit et de protection des données 2017 de Gartner
    la-plateforme-de-sécurité-des-données-varonis-mentionnée-dans-le-guide-d’achat-des-produits-d’audit-et-de-protection-des-données-2017-de-gartner
    Carl Groves
    4 mai 2017
    En 2005, nos fondateurs étaient porteurs d’une vision cohérente de l’élaboration d’une solution de protection des types de données les plus répandus dans les entreprises : les fichiers et les e-mails....
    le-nouvel-environnement-de-la-confidentialité-:-l’union-européenne-en-pointe-sur-la-protection-des-données-personnelles
    Le nouvel environnement de la confidentialité : l’Union européenne en pointe sur la protection des données personnelles
    le-nouvel-environnement-de-la-confidentialité-:-l’union-européenne-en-pointe-sur-la-protection-des-données-personnelles
    David Gibson
    22 octobre 2012
    d’Andy Green Nous comprenons tous les risques associés à la divulgation accidentelle d’un numéro de sécurité sociale. Mais existe-t-il d’autres éléments d’informations moins personnels ou même anonymes qui, utilisés conjointement,...
    outils-siem-:-varonis-est-la-solution-qui-exploite-au-mieux-votre-gestion-des-événements-et-informations-de-sécurité
    Outils SIEM : Varonis est la solution qui exploite au mieux votre gestion des événements et informations de sécurité
    outils-siem-:-varonis-est-la-solution-qui-exploite-au-mieux-votre-gestion-des-événements-et-informations-de-sécurité
    Michael Buckbee
    23 mars 2018
    Les applications de gestion des événements et informations de sécurité (SIEM) sont un pan important de votre écosystème de sécurité des données : elles agrègent les données de plusieurs systèmes, normalisent...
    quelques-réflexions-sur-les-normes-de-sécurité-des-données
    Quelques réflexions sur les normes de sécurité des données
    quelques-réflexions-sur-les-normes-de-sécurité-des-données
    Michael Buckbee
    15 septembre 2017
    Saviez-vous que la norme de sécurité des données NIST 800-53 de 462 pages comprend 206 contrôles et plus de 400 contrôles secondaires1 ?  Vous pouvez jeter un œil sur sa version XML ici. La norme...