Relier les points entre phishing, données d’origine humaine et données compromises

La semaine dernière, j’ai écrit un texte sur certaines des conséquences de la récente allocution de Bruce Schneier lors d’une conférence sur la cryptographie qui a eu lieu à New...
David Gibson
4 minute de lecture
Dernière mise à jour 29 octobre 2021

La semaine dernière, j’ai écrit un texte sur certaines des conséquences de la récente allocution de Bruce Schneier lors d’une conférence sur la cryptographie qui a eu lieu à New York. En résumé, les menaces avancées persistantes (advanced persistent threats, APT) combinées aux attaques de phishing ont bouleversé l’équilibre de la sécurité des données et les pirates (et les services de renseignement gouvernementaux) se trouvent du côté gagnant. Si vous suivez régulièrement l’actualité de la sécurité informatique, cela ne devrait pas être une surprise totale, même s’il faut bien l’avouer, entendre des experts dire que la cryptographie « devient moins importante » est gênant. Mais il est possible de voir la situation actuelle d’une autre façon.

Nous ne disons pas que nos serrures sont « dépassées » parce que celles-ci peuvent être forcées par n’importe quelle personne disposant des outils et de la formation adéquats. Ainsi que le fait remarquer monsieur Schneier, tout comme il existe des serrures de meilleure qualité et des serrures à pêne dormant, il existe des cryptographies et d’autres mesures de sécurité fortes qui doivent constituer votre configuration par défaut.

Une invitation au phishing
Il faut absolument mettre en place une sécurité, un chiffrement et une authentification qui soient meilleurs. Bruce Schneier souligne toutefois que la véritable astuce apprise par les pirates est comment contourner les barrières de sécurité. Et dans le cas des attaques de phishing, les cybercriminels n’auront pas besoin de crocheter la serrure, ils seront en fait invités à entrer par la grande porte.

Le Rapport d’enquête sur les compromissions de données (Data Breach Investigations Report, DBIR), l’enquête annuelle de Verizon sur le piratage, constitue l’une de nos sources préférées en ce qui concerne les statistiques sur le piratage. Selon ce rapport, les attaques dans lesquelles les victimes ont été poussées à révéler leurs informations, ou attaques d’ingénierie sociale, ont atteint 52 % en 2012. Le phishing représente l’essentiel des attaques sociales, loin devant les faux-semblants et les pots-de-vin démodés.

En tant qu’expert en sécurité, vous devrez accepter la dure réalité : un e-mail ou un message texte de phishing suffit à tromper un employé ou à tenter ce dernier de cliquer et de télécharger une APT. En d’autres termes, les pirates entreront. Et ensuite ?

Une fois que l’APT est activée et s’approprie les informations d’identification de l’utilisateur ciblé, les cybervoleurs distants recherchent des données facilement monnayables dans les systèmes de fichiers : numéros de carte de crédit, comptes bancaires, numéros de sécurité sociale et autres IPI.

La théorie du Big Bang des données d’origine humaine
Comprendre la façon dont vos données se propagent à travers le système de fichiers devient donc essentiel. Bien sûr, la plupart des collaborateurs de l’entreprise ne laissent pas volontairement des millions de numéros sous forme de texte en clair dans des dossiers facilement accessibles. Le point clé est que les données non structurées générées par les employés ont leur propre cycle de vie et que celui-ci peut hélas conduire précisément à cette sorte de fatalité.

Les informations de carte de crédit et autres informations spécifiques de comptes clients au format texte proviennent souvent de bases de données centralisées, à savoir des enregistrements des systèmes ERP exportés ou téléchargés par les employés sous forme de fichiers ou de feuilles de calcul lisibles.

Mais l’aspect collaboratif des données d’origine humaine entre alors en jeu. Les travailleurs du savoir ajoutent leurs idées, leurs analyses et génèrent une cascade de nouveaux contenus, lesquels comportent souvent des références et des extraits des versions intelligibles des enregistrements d’origine. Ensuite, les présentations et documents recelant ces précieuses informations personnelles voyageant d’un serveur de fichiers à l’autre, voir des contenus riches en IPI finir dans un dossier avec des permissions de type « tout le monde » n’est qu’une simple question de temps.

Avec des APT conçues pour rester furtives et permettre aux pirates d’analyser les systèmes de fichiers souvent pendant des mois entiers, il y a fort à parier que ceux-ci finiront par trouver le trésor.

Comment faire face aux attaques de phishing
La bonne nouvelle est que les employés peuvent être formés à repérer les attaques de phishing. Voici quelques informations et conseils de base qu’il serait bon de distribuer largement à vos collaborateurs et à votre personnel informatique :

  • Au travail, ne cliquez jamais sur le lien d’un courrier électronique prétendant provenir d’une banque, d’une compagnie aérienne, d’un service de livraison ou d’une société de carte de crédit.
  • N’extrayez jamais le contenu d’un fichier .zip provenant d’une adresse extérieure à l’entreprise, en particulier s’il s’agit d’un des types de sociétés mentionnés précédemment.
  • Les employés doivent être formés à l’identification des noms de domaine intégrés dans les adresses e-mail ou le code HTML des sites. Les pirates occultent souvent le domaine de niveau supérieur. Toutefois, développer l’adresse e-mail ou regarder l’URL sous-jacente dans la barre d’état du navigateur permet rapidement de voir un nom de domaine différent de celui de la marque de façade.
  • Certaines entreprises ont même exécuté des simulations d’attaques de phishing afin de mesurer la sensibilité de leurs employés, une idée que vous pouvez vous-même explorer.

Le service informatique peut également jouer un rôle important dans la réduction ou l’élimination des IPI trouvées dans les dossiers et répertoires aux permissions trop floues. N’oubliez pas que les APT ne nécessitent généralement pas de permissions strictes pour trouver et « exfiltrer » les IPI et autres données de valeur. L’objectif du service informatique devrait être de trouver les données sensibles qui ont échappé aux zones plus surveillées des systèmes de fichiers. Voici quelques conseils pour atténuer une violation de sécurité des données :

  • Un bon plan de défense consiste à analyser régulièrement votre système de fichiers à la recherche d’IPI dans des emplacements non standards. Les définitions d’IPI varient selon les secteurs d’activité. Le secteur médical et le secteur financier en particulier sont soumis à leurs propres réglementations, de sorte que vous devrez connaître les définitions juridiques ou les règles de conformité du domaine concerné lors du développement des modèles de recherche.
  • Il est également essentiel que les gestionnaires de données participent aux décisions d’approbation des demandes d’accès par de nouveaux utilisateurs et examinent régulièrement les utilisateurs existants afin de supprimer les accès devenus inutiles. Autrement dit, l’idée est de minimiser le nombre d’utilisateurs ayant accès à des données sensibles et de rendre plus improbable l’accès aux IPI par un utilisateur aléatoire constituant la cible d’une attaque de phishing.

The post Relier les points entre phishing, données d’origine humaine et données compromises appeared first on Varonis Français.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

le-train-européen-des-projets-de-réformes-portant-sur-la-protection-des-données-prend-de-l’élan
Le train européen des projets de réformes portant sur la protection des données prend de l’élan
Le Parlement européen a récemment voté pour approuver les réformes sur la protection de données avec 621 voix pour et seulement 10 contre. Au terme d’un long processus législatif controversé,...
accélérez-la-protection-des-données-grâce-à-la-sensibilité-au-contexte
Accélérez la protection des données grâce à la sensibilité au contexte
Je me suis récemment beaucoup informé sur la technologie DLP. Presque tous les articles, et présentations techniques que j’ai trouvé se concentrent sur la sensibilité au contexte: scanner les fichiers,...
cinq-choses-à-savoir-sur-la-nouvelle-législation-européenne-relative-à-la-protection-des-données
Cinq choses à savoir sur la nouvelle législation européenne relative à la protection des données
Par Norman Girard, Vice Président et directeur général Europe de Varonis Les régulateurs européens sont sérieux en ce qui concerne la réforme de la protection des données. Ils ont presque...
guide-en-5-étapes-pour-réduire-le-risque-n°-1-en-matière-de-sécurité-des-données
Guide en 5 étapes pour réduire le risque n° 1 en matière de sécurité des données
de Manuel Roldan-Vega La semaine dernière, j’ai eu l’occasion de participer à une rencontre sur la sécurité et les risques associés aux données de tiers. Tout au long de cette...