Vol de données par des employés : comment l’éviter

Avr 14, 2021 | Cyber Security | 0 commentaires

Le vol de données par des employés fait partie de la catégorie plus large des menaces internes. Il a habituellement des motivations financières ou est réalisé pour le compte d’un concurrent.

Le vol de données par des employés n’est pas une fatalité. Varonis avance une série de conseils concrets pour l’éviter. Une démarche en sept étapes.

300 000 fichiers du code de la fonctionnalité Autopilot copiés. S’apprêtant à quitter Tesla pour rejoindre un concurrent chinois, l’employé savait très bien ce qu’il faisait… Le vol de données par des employés fait partie de la catégorie plus large des menaces internes. Il a habituellement des motivations financières ou est réalisé pour le compte d’un concurrent.

Il peut être difficile pour les entreprises de trouver un équilibre entre productivité et sécurité. Comment faire confiance aux employés tout en assurant la sécurité de vos données et de votre propriété intellectuelle ? La confiance est une chose qui nous vient naturellement et qui est nécessaire pour que nous donnions le meilleur de nous-mêmes.

Il est important de faire le distinguo entre intention malveillante et utilisation abusive des données, estime Varonis. L’utilisation abusive des données est involontaire; elle découle de processus de gestion des données inappropriés. Par opposition, une intention malveillante est volontaire. Le God Mode d’Uber constitue un excellent exemple d’utilisation abusive des données. Les employés d’Uber utilisaient en effet des outils internes pour pister des célébrités et autres personnes d’intérêt en suivant leurs courses. Certes, ils n’ont pas cherché à monétiser ces informations, mais ils ont violé la vie privée des clients d’Uber et ont, à ce titre, été condamnés à 20 000 USD d’amende par l’État de New York…

Passer à l’action

Commencez par localiser les données les plus précieuses, conseille Varonis. En somme, mettre en place une politique de classification des données afin d’identifier et de catégoriser avec précision les données. Il s’agit aussi de définir clairement quelles réglementations de conformité et éléments de propriété intellectuelle prendre en compte. Et automatiser la détection des données stratégiques dans les différents dépôts de données de l’entreprise.

Deuxième étape : décider qui doit pouvoir accéder aux informations. La réponse à cette question n’est ni le groupe «Tout le monde» ni le groupe «Utilisateurs authentifiés». Le fait que des utilisateurs aient accès à des données dont ils n’ont pas besoin multiplie le risque de vol par des employés. Selon le principe de moindre privilège, les utilisateurs ne doivent avoir accès qu’aux données dont ils ont besoin pour faire leur travail.

En réalité, nous savons tous que chaque utilisateur cumule de plus en plus d’accès avec le temps, au fil des changements de rôle et des interventions sur des projets transversaux. Il est très rare que quelqu’un prenne le temps de passer en revue les anciennes habilitations pour s’assurer qu’elles sont toujours nécessaires. Par conséquent, les entreprises sont bien plus exposées au vol de données par des employés qu’elles ne le pensent…

Accès… et accès excessifs

La plupart des organisations, constate Varonis, s’attaquent au problème en commençant par corriger les problèmes d’accès global et d’héritage brisé, avant de limiter les accès aux données en fonction des besoins. Le retrait de l’accès global n’est pas anodin. Sans piste d’audit complète des événements d’accès aux données, vous risquez de révoquer sans le vouloir l’accès de personnes ou d’applications stratégiques.

Varonis répertorie les personnes ayant accès aux données et les personnes qui y accèdent réellement pour mettre en lumière celles qui disposent d’accès excessifs. À partir de là, on peut automatiser en toute sécurité les modifications des listes de contrôle d’accès et des groupes de sécurité. Varonis est capable de corriger automatiquement les problèmes d’héritage brisé et d’accès global. Mais aussi d’ajouter de nouveaux groupes d’accès spécifiques regroupant les utilisateurs actifs de données. Ce processus est bien plus rapide qu’une stratégie manuelle.

Une fois ce point essentiel résolu, déterminer qui doit pouvoir accéder aux données et mettre en place un système qui limite et audite les accès afin de préserver le modèle de moindre privilège. Cette tâche implique de demander régulièrement aux utilisateurs de ces données qui a besoin d’y accéder. Il s’agit également du moment idéal pour mettre en place un système capable d’automatiser et d’auditer les demandes d’accès aux données pour vous permettre de maintenir facilement votre modèle.

Créer une politique

Nouvelle étape : établir une politique de sécurité des données basée sur un cadre établi, comme le cadre Data Security Governance de Gartner ou celui du NIST. Ces cadres réunissent des bonnes pratiques visant à assurer la sécurité des données. On peut les utiliser pour personnaliser la politique de l’entreprise. En somme, créer une politique complète, qui définit les besoins métier et indique comment trouver un équilibre entre risque et productivité. 

Appliquer, dans la foulée, une analyse de la sécurité et surveiller les comportements. Objectif : éclairer des violations potentielles de la politique de sécurité avant que ces incidents ne se transforment en vols de données. Penser en particulier à surveiller les variations inhabituelles de comportement. Se montrer, par exemple, vigilant si un utilisateur se met à accumuler des données ou à accéder à des données qu’il ne consulte généralement jamais.

Il ne s’agit pas de prendre des mesures drastiques à la moindre violation de la politique de sécurité des données. En effet, la plupart des utilisateurs font simplement de leur mieux… et ne sont pas malveillants. Les exemples d’employés volant les données de leur entreprise relèvent de l’exception, non de la règle. Les analyses des données indiquent simplement que le comportement d’un utilisateur a changé et qu’il est nécessaire de l’étudier de près. Elles ne peuvent pas déterminer les motivations de ce changement ou prendre en compte les circonstances.

Anticiper le vol de données c’est aussi former…

Cinquième étape, mettre en place des listes de surveillance. Établir des critères pour ajouter des utilisateurs à une liste de surveillance et effectuer un suivi avancé. Par exemple, si un utilisateur pose sa démission, l’ajouter à une liste de surveillance dans les analyses de sécurité pour détecter d’éventuelles tentatives d’exfiltration de données. Varonis permet d’ajouter et de supprimer des utilisateurs de cette liste : l’équipe de sécurité peut ainsi anticiper et empêcher plus efficacement les vols de données potentiels par des employés. 

Anticiper c’est aussi former et mettre en place des sessions de rappel annuelles. Ainsi, les employés ne pourront pas prétendre ignorer le protocole de sécurité s’ils ont signé la fiche de formation. Il sera aussi possible de s’appuyer sur cette formation pour inciter les employés à rester vigilants face au risque de vol de données par leurs collègues et mettre en place des lignes de dénonciation anonymes permettant à l’équipe de sécurité d’étudier les incidents en toute discrétion, avant qu’ils ne se transforment en fuites de données.

Enfin, créer un plan de réponse aux incidents et un processus d’activation de ce plan lors d’un vol de données. Ce plan doit être complet et inclure toutes les parties pouvant être concernées, comme les HR et le service juridique, en plus de l’équipe chargée de la cybersécurité. Il éclaire la marche à suivre pour répondre à tout incident de cybersécurité, vol de données par des employés compris.

 

Sommaire
Vol de données par des employés : comment l'éviter
Titre
Vol de données par des employés : comment l'éviter
Description
Le vol de données par des employés n'est pas une fatalité. Varonis avance une série de conseils concrets pour l'éviter. Une démarche en sept étapes.
Auteur
Editeur
Soluxions Magazine
Logo