Trop de dossiers sensibles accessibles
64 % des entreprises ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès… Le secteur financier n’est pas épargné.
Trop de dossiers sensibles accessibles. Le «Financial Data Risk Report» de Varonis Systems est inquiétant. Ce rapport s’appuie sur les évaluations des risques liés aux systèmes de fichiers pour des clients et prospects. Le spécialiste de la gouvernance a analysé quelque 4 milliards de fichiers dans 56 grandes organisations.
Si le secteur financier est l’un des plus matures en cybersécurité, il n’en reste pas moins fragile. «Il est extrêmement visé du fait des données sensibles collectées auprès des clients», rappelle Varonis. Des données très largement exposées à des failles, menaces internes ou encore des attaques par ransomwares. Autant de vulnérabilités qui peuvent entrainer des amendes pour non-conformités avec le GDPR, voire la norme PCI-DSS spécifique au monde bancaire.
Plus de 20 % de dossiers sensibles
Dans les organisations analysées, en moyenne 10,8 millions de dossiers sont accessibles à tous les employés. Cela atteint jusqu’à 20 millions dans les plus grands groupes (plus de 1500 employés).
En moyenne, un(e) employé(e) d’une société de services financiers a accès à 13 % du total des dossiers de l’entreprise. Dans les petites organisations (entre 1 et 500 employés pour ce rapport), un employé a en moyenne accès à plus d’un demi-million de fichiers. Et, ainsi, une liberté illimitée de consulter, copier, déplacer et modifier les données qu’ils contiennent.
Ces accès libres sont d’autant plus inquiétants que plus de 20 % de ces fichiers comportent des informations sensibles sur des collaborateurs ou des clients… La majorité (64 %) des entreprises analysées ont plus de 1000 dossiers sensibles auxquels l’ensemble de leurs employés ont un accès libre !
Trop d’énergie pour supprimer un accès
En moyenne, 69 % des données sont «obsolètes», c’est-à-dire non consultées depuis plus de 90 jours. Ces données incluent souvent des données critiques. Elles sont ainsi tout autant exposées à des failles. Elles devraient faire l’objet d’une gestion appropriée (archivage sécurisé, suppression).
Sachant qu’il faut environ 6 à 8 heures aux professionnels de l’informatique pour localiser et supprimer manuellement l’accès global à un dossier, cela signifie qu’il faudrait 13 à 18 ans pour gérer correctement les accès à ces fichiers (c’est-à-dire, les rendre accessibles uniquement aux bonnes personnes).
Migration vers le cloud… sans préparation
Si ces organisations sont sensibilisées à la protection des données, il y a encore du travail à faire. De fait, Varonis a identifié plus de 500 mots de passe qui n’expirent jamais !
Ces expositions plus nombreuses s’expliquent principalement par le recours de plus en plus important au cloud. Et, notamment, à l’utilisation d’outils collaboratifs. Sans compter la mise en place dans l’urgence d’accès à distance via des VPN.
«La pandémie de COVID-19 et le passage au télétravail ont forcé de nombreuses entreprises à migrer vers le cloud sans préparation adéquate. Cela a augmenté par inadvertance leur surface d’attaque lorsque les employés se connectaient par le biais de réseaux non sécurisés et d’ordinateurs domestiques. Il est temps de réagir», insiste Norman Girard, VP, Continental Europe, Varonis.
