Quid de la protection des données ?

Suite à l’attaque d’hackers virulents survenue chez Epsilon, retour sur les enjeux d’une bonne gestion de la sécurité informatique par un tiers notamment dans un contexte d’externalisation des mails.

Quels sont aujourd'hui les moyens de protection des données auxquels peuvent avoir recours les entreprises  avec une gestion externalisée de leur messagerie électronique à des prestataires externes ?

 

Je recommande aux entreprises qui externalisent la gestion de leurs données sensibles de prendre connaissance des exigences stipulées par le standard PCI-DSS afin d'évaluer l'aptitude de leurs prestataires.

À l'origine, ce standard a été mis au point pour veiller à ce que les établissements de gestion des données bancaires soient dotés d'une infrastructure sécurisée. Aujourd'hui, il constitue un ensemble de meilleures pratiques, applicable à bon nombre des secteurs dans lesquels la protection des données est essentielle.

Ce standard instaure des exigences de sécurité en matière de pare-feu, d'antivirus, d'authentification forte et de contrôle d'accès. Un certain nombre de consultants en sécurité informatique ont reçu la certification PCI QSA (Qualified Security Assessor) leur permettant de réaliser des audits sur la mise en conformité des entreprises avec ce standard.
 
Les entreprises ne doivent pas renoncer à instaurer un périmètre de sécurité, mais elles doivent par ailleurs adopter un modèle de sécurisation par couche sans partir du principe que ce périmètre est infranchissable.

Une banque dont les fonds sont à l'abri dans un coffre-fort fermera  tout de même à clé la porte de son établissement. De la même façon, si une entreprise doit protéger ses systèmes au moyen de pare-feu et instaurer une procédure d'authentification forte pour la connexion VPN, elle doit aussi mettre en oeuvre des mesures supplémentaires pour protéger les comptes à forte valeur : par exemple, un système d'authentification par carte à puce pour les administrateurs système. 

 Prévention

Comment se prémunir d'une attaque ayant exploité une faille de sécurité d'Adobe Flash après l'ouverture d'une pièce jointe contenue dans un message d'hameçonnage ?


Il est évident que les mots de passe statiques restent le talon d'Achille de la sécurité informatique des entreprises. Une fois que le pirate s'est introduit dans le système - dans le cas présent, au moyen d'une pièce jointe infectée par un virus -, les applications et les serveurs protégés uniquement par des mots de passe statiques finiront tous par être compromis : ce n'est qu'une question de temps.


Jusqu'à présent, les mesures d'authentification forte étaient principalement axées sur le renforcement du périmètre de sécurité - c'est notamment le cas des jetons OTP (One Time Password) : ces mots de passe à usage unique, qui fonctionnent d'ailleurs sur le principe du SecurID de RSA, sont utilisés pour la sécurisation de l'accès au réseau VPN.


Le périmètre en question est toutefois amené à devenir de plus en plus poreux avec la montée en puissance de l'informatique mobile. Cette attaque doit donc faire prendre conscience aux entreprises de la nécessité absolue de sécuriser leurs applications et leurs serveurs, même si l'accès est déjà protégé par un pare-feu. 

Autour du même sujet