Vol d’identités : quelques précautions à l’usage des entreprises

La sophistication des attaques et la complexité des solutions de sécurité peuvent créer un environnement extrêmement décourageant pour les entreprises. Analyse du phénomène du vol d’identité et décryptage de la meilleure façon de le contrer.

Les récents problèmes de sécurité de grande ampleur comme ceux de l'administration britannique ou le piratage de comptes bancaires présidentiels, ont souligné les dangers que fait courir le vol d'identité aux entreprises et aux particuliers. Ces problèmes de sécurité constituent une source d'inquiétude importante et sont des défis constants pour les entreprises du monde entier.

Les données sont l'actif le plus précieux d'une entreprise, juste après ses employés. Malheureusement, avec l'apparition d'enchères en ligne illicites permettant d'acheter des informations personnelles, les hackers ont la possibilité de gagner beaucoup d'argent avec celles-ci et se montrent donc particulièrement actifs.

 

Accès non autorisé

Toute information personnellement identifiable comme l'identifiant d'un réseau, le nom d'un employé ou son mot de passe, peut aider un cybercriminel à s'introduire de façon non autorisée dans un réseau et à voler des informations confidentielles. Ces informations peuvent ensuite être vendues au plus offrant ou être directement utilisées pour consulter les bases de données critiques d'une entreprise, notamment ses données financières et industrielles ou la liste de ses clients. Les dommages sont alors potentiellement illimités. Vu que les attaques contre les entreprises de toutes tailles et de tous les secteurs sont désormais monnaie courante, celles-ci doivent prendre des mesures préventives appropriées pour contrer ces menaces.

 

D'autant plus que la prise de conscience des états au niveau législatif s'accompagne d'une adaptation constante des méthodes de piratage. Les cybercriminels font aujourd'hui, preuve d'une extraordinaire ingéniosité pour arriver à leurs fins. Ils ont compris que s'introduire à l'insu de l'entreprise, s'avère bien plus efficace qu'une attaque consistant à casser les accès et à subtiliser les informations sur le réseau, avec pour inconvénient d'attirer inévitablement l'attention du département informatique.

 

Et quel est le moyen le plus rapide pour y parvenir ? L'employé. Chaque fois qu'un de vos employés télécharge une application non autorisée sur le Web, répond à un e-mail apparemment légitime lui demandant son mot de passe, ou agit négligemment avec ses détails de connexion, il fait courir un risque considérable à votre entreprise.

 

Prenez l'affaire de l'administration britannique des taxes et droits de douanes[1] en novembre 2007. 25 millions de dossiers ont disparu, et pas à cause d'une attaque malveillante mais par le fait d'une simple erreur humaine. Un employé a envoyé un disque non crypté reprenant les noms, les adresses et les informations bancaires de millions de familles anglaises dans un simple colis. Le disque et un disque de rechange ont été perdus en chemin - créant une frénésie médiatique et obligeant plus d'un million de personnes à changer leurs mots de passe bancaires et leurs codes PIN[2].

 

Il s'agit d'une défaillance de la politique de sécurité au niveau de l'interface entre l'infrastructure traitant l'information et le transfert physique des données. Dans ce contexte, il faut également noter que tous les dossiers (25 millions, souvenez-vous) étaient stockés sur les disques. L'administration aurait dû s'assurer que seuls les dossiers réellement nécessaires soient sélectionnés dans la base de données et transportés - ce qui aurait drastiquement diminué l'impact de leur perte et n'aurait pas fait courir un risque de fraude à des millions de gens.

 

Afin de souligner l'ampleur du défi auquel sont actuellement confrontées les entreprises, la majorité d'entre elles est soumise à des normes strictes - par exemple des législations comme le "Data Protection Act" en Grande-Bretagne, qui impose aux entreprises d'adhérer à certains standards tels que la conformité des données, leur sécurisation et la protection de leur intégrité.

Les entreprises qui ne respectent pas ces normes encourent des peines lourdes, mais aussi la perte de leur crédibilité et de leurs clients. En décembre 2007, la compagnie d'assurance Norwich Union s'est vu infliger une amende record de 1,26 millions de livres sterling après que des défaillances de sécurité de ses centres d'appel aient permis à des hackers de consulter les données personnelles de ses assurés, ce qui a mis en danger financièrement environ sept millions de personnes.

 

Même si le coût du vol d'identité ne peut être précisément mesuré, certains estiment qu'il s'élève à 1,7 milliards de livres sterling chaque année, rien qu'au Royaume-Uni. De tels calculs omettent les dommages causés à la réputation des entreprises, qui sont difficilement quantifiables mais qui peuvent pousser à la faillite une entreprise pourtant en bonne santé financière.

 

Étant donné le nombre de failles potentielles, que doivent faire les entreprises pour se protéger, ainsi que leurs employés et leurs clients ? Et tout en essayant de sécuriser leur réseau, comment les entreprises peuvent-elles faire en sorte que les investissements effectués dans leur infrastructure leur permettent également d'améliorer leur productivité et leur efficacité ?

 

 L'importance de la politique de sécurité

Les entreprises doivent absolument sécuriser de façon efficace les "coutures " de leur réseau et libérer les employés de la responsabilité de définir ce à quoi ils peuvent et ne peuvent pas "faire confiance". Le contrôle d'accès, une fonctionnalité offerte par une solution à base de règles, est une bonne base de départ pour ce faire.

 

Le fait que des applications de communication comme les messageries instantanées (IM), le Web 2.0 et le peer to peer (P2P) sont massivement utilisées dans les bureaux souligne la nécessité d'installer une telle solution. Mais alors qu'il peut être difficile de contrôler une IM, se limiter à en bloquer l'accès aux employés est la preuve qu'on ignore les gains de productivité qu'apportent de telles "technologies de présence ". Il vaut mieux implémenter un cadre d'applications à base de règles - en bref former les employés à éviter les erreurs humaines tout en se dotant d'une fonction de contrôle qui permette à la direction d'appliquer dans les faits la politique de sécurité sur le réseau.

 

C'est pourquoi la meilleure stratégie est de déployer une solution de contrôle d'accès unifié qui permet d'effectuer des contrôles granulaires des points finaux basés sur l'identité (la personne qui tente d'entrer sur le réseau et l'intégrité du dispositif qu'elle utilise) et d'intégrer au réseau des pare feu, des dispositifs de réseau privé virtuel (VPN), des commutateurs et des points d'accès qui servent à appliquer les décisions de la direction. Toutefois, les entreprises ne doivent pas oublier l'importance de chiffrer  les données en transit, la seule manière d'empêcher leur utilisation si elles sont interceptées.

 

Naturellement, afin d'atteindre ce niveau de performance, il faut absolument s'assurer que les solutions utilisées ne réduisent pas la vitesse du réseau, des applications ou même l'efficacité des employés. La mise en œuvre de solutions de sécurité peut ainsi s'accompagner de solutions d'optimisation et d'accélération applicative afin de délivrer des temps de réponse rapides et uniformes, et de contrôler et définir la priorité des applications et services critiques.

 Une meilleure sécurité pour une meilleure activité

La fréquence et la sophistication des attaques compliques la tâche des entreprises qui doivent réagir rapidement et à des coûts élevés. Les bonnes solutions de sécurité existent. Elles sont simples à déployer et à gérer et apportent de vrais avantages.

 

Déployer une solution de contrôle d'accès unifié, par exemple, permet aux entreprises d'être plus efficaces et plus ouvertes avec leurs partenaires commerciaux tout en protégeant leurs données des attaques venant de l'intérieur et de l'extérieur.

 

Les réseaux de haute performance facilitent grandement la conformité aux règlementations tandis qu'une politique de sécurité claire permet aux employés de se concentrer sur leurs activités sans devoir assumer la responsabilité d'avoir ouvert par inadvertance la porte à des voleurs d'identité. Les entreprises qui ont implémenté ces solutions peuvent fonctionner de façon plus rapide et plus sure et ainsi devenir des entreprises de premier plan.