Reynald Fléchaux,

Les spécialistes de la sécurité s’inquiètent de la menace provenant d’employés mécontents ou corrompus. A raison, car les entreprises ont les plus grandes peines à restreindre en interne l’accès à leurs informations sensibles.

47 % des organisations laissent au moins 1 000 fichiers sensibles accessibles à tous leurs employés. Et dans 22 % des entreprises, ce sont même plus de 12 000 fichiers renfermant des informations relatives à la régulation, à la propriété intellectuelle, ayant une valeur concurrencielle ou normalement réservées à certains employés qui sont en libre accès. Ce sont quelques unes des conclusions, pas si surprenantes en réalité, d’un audit mené par Varonis, un spécialiste de la protection de données, auprès de 80 organisations. Soit 3,79 Po de données, 2,8 milliards de fichiers et 236 millions de dossiers passés au crible. Sur ce total, 48 millions de dossiers étaient ouverts à tous au sein de l’organisation, explique Varonis. La démonstration concrète de la difficulté des administrateurs à gérer les droits d’accès aux dossiers et fichiers sensibles dans les systèmes Windows.

varonis_acces

Une faiblesse qui, d’ailleurs, n’a pas échappé aux employés eux-mêmes. En août 2016, une étude du Ponemon Institute, commandée par le même Varonis, montrait que 62 % d’entre eux avaient conscience de pouvoir accéder à des données qu’ils n’étaient probablement pas censés voir. Ces lacunes sont d’ailleurs bien connues des professionnels de la sécurité. Une étude de Forrester Research montre que 60 % d’entre eux reconnaissent que leur organisation ne parvient pas à restreindre correctement les accès aux données en interne. Et deux tiers de ces spécialistes ajoutent que leur entreprise échoue à classer correctement l’information non structurée, là où réside une large part de la propriété intellectuelle et des plans stratégiques des organisations. Or, de récentes affaires ont montré que des employés sur le départ, mécontents  ou simplement attirés par l’appât du gain, constituent une réelle menace pour la sécurité des entreprises.

Bien gérer les dossiers pour le GDPR

Dans le détail, Varonis pointe également les erreurs dans la gestion des permissions d’accès aux dossiers partagés. 10 % d’entre eux sont ainsi associés à des permissions uniques, soit des autorisations ponctuelles fournies pour des cas particuliers. Or, pour Varonis, cette méthode se révèle trop complexe à analyser. « Plus complexe est la structure du système de fichiers, plus il existe de risques qu’un utilisateur se voit accorder un accès non prévu. Les permissions uniques accroissent la complexité quand une entreprise tente de se conformer à des régulations qui requièrent un suivi précis des accès aux données sensibles, comme c’est le cas du futur GDPR », écrit Varonis. A ce problème touchant, un dossier sur 10, s’ajoutent quelques erreurs (dossiers protégés, bloquant l’héritage de droits, SID non résolue…), affectant quelques pourcents supplémentaires des dossiers audités. Notons que cette question de l’héritage des droits lors d’un changement de dossiers est tout sauf théorique ; elle était même au centre de l’affaire dite LuxLeaks, concernant des données dérobées à PwC Luxembourg.

Au-delà de la gestion des droits associés aux dossiers, se pose aussi la question de la maintenance des accès des utilisateurs. Varonis affirme avoir découvert, au cours de ses audits dans 80 organisations réparties dans le monde, près de 450 000 comptes d’utilisateurs périmés, mais conservant leurs droits d’accès associés. Une cible classique pour les hackers. A elle seule, une organisation du monde de l’éducation en comptait 231 000 ! Mais, même chez le meilleur élève du panel, 3 % des comptes étaient périmés. Varonis ajoute que plus de 500 000 comptes d’utilisateurs audités n’étaient pas associés à des règles d’expiration du mot de passe, ce qui facilite les attaques par force brute et le maintien de hackers dans des systèmes qu’ils seraient parvenus à compromettre.

 

Source : Silicon

April 26, 2017
shadow-brokers-1024x551

Une entreprise sur deux laisse plus de 1000 fichiers sensibles en libre accès

Reynald Fléchaux, 26 avril 2017 Les spécialistes de la sécurité s’inquiètent de la menace provenant d’employés mécontents ou corrompus. A raison, car les entreprises ont les […]
April 19, 2017
3-conseils-essentiels-pour-mener-a-bien-sa-migration-vers-le-cloud

3 conseils essentiels pour mener à bien sa migration vers le Cloud

19/04/2017 Les chiffres sont exceptionnels. Si le marché du Cloud computing dans l’hexagone avoisinait les 900 millions en 2007, ce début d’année 2017, il pullule et […]
April 13, 2017
1268792

Cyberattaque : plus de 20 % des ordinateurs industriels ont été touchés en 2016

13 avril 2017 Selon une étude menée par Kaspersky Lab, une machine industrielle sur cinq a été victime d’attaque informatique en 2016. Au cours du 2e […]
April 12, 2017
141222_5o4ur_informatique_sn635

Le chiffrement de bout en bout de Signal comporte lui aussi des failles

Reynald Fléchaux, 12 avril 2017 Même les technologies les plus sécurisées comportent des bugs, expliquent deux chercheurs qui ont déniché une demi-douzaine de failles dans le […]