Infrastructure pour l'Entreprise (FR)
Aborde les problématiques auxquelles les entreprises doivent faire face dans leurs réseaux et les possibilités offertes d’y répondre
Gilles

Sécurité des données : la “menace” interne

by Gilles Trachsel (Gilles) on ‎03-23-2012 12:52 AM

(English version)

 

Dans son rapport d’enquête sur la violation des données de 2011, Verizon Business a mentionné le fait que 17% de toutes ces infractions étaient dus à des agents internes. Il est vrai que cela représente une diminution relative de 31% en comparaison à l’année 2009; mais ceci est principalement dû au nombre en forte croissance de violations ayant des agents externes comme origine (+22%), ce qui en soit ne constitue pas une surprise. Ce qui compte par contre, c’est que le nombre absolu de ces infractions internes n'a pas beaucoup changé au cours des dernières années, ce qui signifie que vous devez toujours prêter une grande attention à ce phénomène.

 

Toutes ces violations internes ne sont pas forcément délibérées, bien que, selon Verizon, elles représentent tout de même 93% de celles-ci. Le reste est dû principalement à des employés maladroits, novices ou sous-formés, faisant des erreurs et agissant de façon inappropriée.

 

Laissez-moi vous exposer un rapide exemple. Considérons un employé travaillant de temps en temps depuis son domicile et utilisant son ordinateur portable professionnel pour ce faire. Etant donné que c'est la politique de sa société, il se connecte au réseau de son entreprise au travers d'une session SSL/VPN, assurant ainsi confidentialité et intégrité. Cette connexion sécurisée représente d’ailleurs la seule façon pour cet employé d'établir un accès à distance aux ressources de sa société, donc il n'a pas d'autre alternative.

De plus, une fonction de contrôle du système scanne son ordinateur portable afin de s’assurer notamment que rien de malicieux soit présent avant même que la session ne soit établie, et aussi que rien ne puisse infecter sa machine pendant toute la durée de cette session sécurisée. Un moment plus tard, notre employé en a terminé avec son travail et désire rapidement réserver des billets pour un concert. Etant une personne consciencieuse, et parce c’est un usage de type privé, il met fin volontairement à la session SSL/VPN et navigue sur le Web depuis son ordinateur portable. Et ensuite, devinez quoi? C'est bien sa chance! Sa machine a été infectée... Plus aucun mécanisme de contrôle fonctionnant en arrière-plan, aucune preuve évidente que quelque chose s'est mal passé, et le résultat est que vous finissez avec un terminal infecté sans en avoir eu conscience du tout. Le jour d'après, notre employé retourne le plus naturellement du monde à son bureau, contournant ainsi physiquement tous les pare-feux et autres systèmes de détection périmétriques les plus sophistiqués, et reconnecte son ordinateur portable au réseau interne d’entreprise. Du fait qu'il n'y a aucun mécanisme de contrôle d'accès local en place, juste après que l'ordinateur ait été allumé, le code malicieux se répand comme une trainée de poudre au sein de l'organisation toute entière, causant par la même occasion d'importants et peut-être irréversibles dommages.

Peut-on vraiment blâmer cet employé? A-t'il adopté une attitude particulièrement risquée? A-t'il agi avec négligence? Probablement pas. Nous pourrions éventuellement le rendre attentif à ce risque, par exemple en le formant davantage, mais c'est à peu près tout. Non, la réalité est que c'est de la responsabilité du département de l’information de mettre en place un système à même de diminuer ce type de risques.

 

Un autre élément intéressant mis en exergue dans le rapport de Verizon est que vous n'avez pas besoin de privilèges de « super utilisateur » afin de voler de façon délibérée des données ou de causer des problèmes majeurs sur le réseau.

 

Donc, quel est le défi ici? L’approche traditionnelle de la sécurité partait du principe que les menaces auxquelles les entreprises étaient exposées venaient de l'extérieur du réseau. En conséquence, la sécurité déployée avait comme objectif principal de fournir une protection périmétrique. Et c'est à ce niveau que nous commençons à montrer des signes de faiblesse, car la menace interne ouvre un nouveau vecteur d'attaque qui passe complètement outre toute stratégie de sécurité périmétrique, aussi efficace soit-elle, comme mon petit exemple ci-dessus vient de le démontrer.

 

Un autre facteur à considérer sérieusement est la prolifération des terminaux mobiles et des tablettes que nous observons actuellement. Par nature, ces nouveaux terminaux sont destinés à être utilisés principalement dans le domaine public, mais aussi de plus en plus sur le réseau interne (connu comme l'effet BYOD). Ceci multiplie le risque d’importer des codes malicieux au sein de votre organisation.

 

Quelle que soit la cause de la menace interne – bons employés faisant de mauvaises manipulations sans le savoir ou employés douteux démontrant un comportement répréhensif – et indépendamment de la motivation de l’employé produisant cette menace, les résultats peuvent être dévastateurs pour votre organisation. Le remède consiste à mettre en place une solution complète permettant d'adresser et de contenir ces menaces internes, notamment en:

 

  • Gardant les données sensibles en sécurité
  • Assurant le droit d'accès aux applications et aux données sensibles aux seules personnes autorisées
  • Protégeant votre réseau, vos applications, vos utilisateurs et vos données contre la contamination
  • Le tout en protégeant votre marche des affaires et votre réputation.

 

La bonne nouvelle est que Juniper Networks a déjà effectué le gros du travail dès qu'il s'agit de sécuriser votre organisation contre la menace interne. Nous sommes en mesure de fournir une approche globale de la sécurité avec nos solutions de gestion adaptative de la menace et de contrôle d’accès sécurisé au réseau. Leurs caractéristiques et avantages-clés sont les suivants:

 

  • Assure que seules les personnes adéquates puissent accéder au réseau, aux applications et aux données sensibles, en vérifiant l'identité et le rôle de chacun, ainsi que les différents terminaux, et ce avant que l'accès ne soit accordé
  • Empêche l'accès des terminaux infectés au réseau, et ce faisant empêche la contamination
  • Détecte les comportements anormaux ou malicieux sur le réseau et prend des mesures rapides et explicites avant que le menace ne prolifère
  • Enregistre et rapporte les accès au réseau et aux applications spécifiques, quand ceux-ci ont eu lieu et depuis quel(s) endroit(s), simplifiant ainsi le dépistage des violations internes.

Ceci assurera une politique de mise en réseau globale basée sur l’identité des utilisateurs, aussi bien localement qu’à distance, utilisateurs qui peuvent être des employés de l’entreprise, des partenaires, des intérimaires ou des invités – pour n’en nommer que quelques-uns – utilisant n'importe quel terminal et se connectant depuis n’importe quel endroit.

 

Juste une suggestion: essayez d'appliquer mon petit exemple à votre organisation et regardez quel en est le résultat. Si vous arrivez à la conclusion que votre défense sécuritaire existante n’est pas en mesure d’efficacement stopper une telle menace interne, il y a dès lors urgence de prendre des mesures rapides. Sans cela, vous exposez votre organisation à un risque majeur.

 

Imaginez juste un instant le nom de votre société faisant les gros titres: « Violation de données chez (votre entreprise) : 3 jours d’arrêt de production coûtant des millions de pertes »

 

Et n’oubliez pas, ce phénomène ne va pas diminuer avec le temps du fait de la grande vague « BYOD » en pleine émergence. N'attendez pas non plus de vos employés un comportement toujours exemplaire – ce ne sont que des êtres humains finalement... :smileywink:

 

Post a Comment
Be sure to enter a unique name. You can't reuse a name that's already in use.
Be sure to enter a unique email address. You can't reuse an email address that's already in use.
Type the characters you see in the picture above.Type the words you hear.
Labels
About the Author
  • I’m responsible for the solutions marketing of Juniper Networks’ Enterprise solutions portfolio throughout the EMEA region. I brings to the role over 20 years of international and multi-cultural presales, technical and product management experience. Prior to this role, I held a number of international positions with Peribit Networks, U.S. Robotics and 3Com.
Copyright© 1999-2013 Juniper Networks, Inc. All rights reserved.