Logo Spiria

6 idées pour mieux protéger les données en entreprise

3 janvier 2017.
Difficile de ne pas s’inquiéter alors que tant de vols de données d’entreprises se produisent, même chez les méga-compagnies qui devraient pourtant être en pleine possession de leurs moyens ! Aucune entreprise n’est à l’abri, peu importe sa taille ou son champ d’activité.

Difficile de ne pas s’inquiéter alors que tant de vols de données d’entreprises se produisent, même chez les méga-compagnies qui devraient pourtant être en pleine possession de leurs moyens ! Aucune entreprise n’est à l’abri, peu importe sa taille ou son champ d’activité.

À la lumière des nouvelles divulgations de gigantesque piratage chez Yahoo, voici cinq stratégies à mettre en place. Il est important de se rappeler qu’aucune de ces solutions n’est en elle-même inviolable ; toutefois, un plan solide qui en combine plusieurs minimise grandement les risques.

S’assurer d’une bonne « cyberhygiène » au quotidien

On aime beaucoup ce terme inventé par le Wall Street Journal. Quantité de petites procédures, qui peuvent parfois paraître anodines, sont à pratiquer avec régularité. Elles sont essentielles pour éviter la vulnérabilité des données à moyen ou long terme. L’ensemble de ces gestes constitue une bonne “cyberhygiène”.

Parmi ces gestes, on retrouve par exemple la mise à jour systématique des logiciels et la réalisation fréquente d’audits de sécurité.

Le WSJ cite entre autres l’exemple d’une brèche de sécurité présente dans le système d’exploitation Windows, découverte en 2010. Une rustine (patch) avait été développée assez rapidement pour régler le problème. Toutefois, plus d’un tiers des problèmes de sécurité relevés en 2014 (c’est-à-dire quatre ans plus tard !) par des chercheurs chez HP étaient toujours liés à cette brèche. Comment expliquer ceci ? Bien des entreprises et utilisateurs n’avaient tout simplement jamais pris la peine d’installer le correctif.

Crypter les données

C’est une solution relativement simple et assez efficace, implémentée cependant par peu d’entreprises. Pour des raisons évidentes, il s’agit d’une stratégie particulièrement essentielle si les données sont entreposées dans le nuage.

Le problème d’adoption vient en partie du fait que le cryptage/décryptage peut ralentir les postes de travail et que le processus est parfois coûteux. Selon Avivah Litan, un analyste en sécurité senior chez Gartner, « on ne peut pas se reposer sur les gens. Vous devez vous reposer sur la technologie ». Le cryptage est la première technologie de protection des données.

Reconsidérer les mots de passe

La gestion des mots de passe est un véritable casse-tête pour tous, autant pour les utilisateurs que pour les équipes de TI. De plus, ils ne sont pas toujours efficaces ! Les pirates adorent les mots de passe, parce qu’ils ont bien compris que les utilisateurs se servent souvent des mêmes pour de nombreux comptes (et qui a envie d’apprendre des dizaines de mots de passe différents ?).

Une première solution est de promouvoir l’utilisation de gestionnaires de mots de passe.

Une autre option à considérer : abolir les mots de passe et s’identifier au poste de travail grâce, par exemple, à une minuscule clé USB à la place. C’est ce que Facebook et Google ont mis en place pour leurs propres employés.

Yubikey.

Contrôler tous les fournisseurs

Toute entreprise doit absolument travailler uniquement avec des tiers technologiques fiables et de confiance. Ces entreprises peuvent avoir accès à vos données ou les mettre en péril. Une enquête rigoureuse pour chaque fournisseur est absolument requise. Elle doit se faire sur plusieurs plans ; une vérification légale du contrat est entre autres primordiale.

Une bonne vigilance et une stratégie de sécurité globale ne sont malheureusement pas l’apanage de tous les fournisseurs, particulièrement (mais pas spécifiquement) ceux qui sont moins bien établis. Certaines entreprises, par exemple BitSight Technologies et Security Scorecard, accordent des notes de sécurité qui évaluent les risques reliés à différents fournisseurs ; ce genre de service peut grandement aider à la tâche.

Former les employés

Les courriels d’hameçonnage sont parfois si évidents qu’ils sont complètement risibles. Mais ce n’est pas toujours le cas ! Il est crucial que tous les employés sachent reconnaître les menaces et puissent les déjouer, même les plus subtiles et donc, dangereuses. Le message principal à véhiculer est qu’au moindre doute, il ne faut pas répondre ni cliquer, mais plutôt se remettre au jugement du service des TIs le plus rapidement possible.

Il y a trois ans, la chaîne de magasins américaine Target a été attaquée, menant au vol de 40 millions de numéros de carte de crédit appartenant à ses clients. Incroyable, mais vrai : selon Brian Krebs, cela s’est produit initialement parce qu’un employé d’un fournisseur a laissé échapper des données sensibles, piégé par un courriel d’hameçonnage qui permettait l’installation d’un cheval de Troie.

Il est peut-être le temps de revoir votre stratégie de protection de vos données et infrastructures pour entamer 2017 en toute sécurité !