La sécurité des données en entreprise va plus loin que les mots de passe
La sécurité est l’une des priorités critiques des entreprises. Mais beaucoup s'arrêtent encore au simple mot de passe comme dispositif de protection ce qui est largement insuffisant.
Les failles dans la sécurité des données des entreprises ont été nombreuses ces derniers mois, et ont parfois défrayé la chronique, que ce soit Facebook, Dixons ou Tickemaster ou, plus près de nous, Info Greffe et la Maison des Artistes. Le cabinet Javelin Strategy & Research a d’ailleurs établi qu’il n’y a jamais autant eu d’usurpations d’identités. La cyber sécurité est donc plus que jamais un sujet crucial pour les entreprises.
Ces menaces, ainsi que l‘adoption récente du RGPD, font de la protection des données des entreprises une priorité plus critique que jamais, qu’il s’agisse des informations concernant les collaborateurs comme celles concernant le business.
C’est un sujet largement mis en avant dans le dernier rapport Okta sur la sécurité dans les grandes entreprises (Businesses @ Work), basé sur les données clients réelles et anonymisées, qui met en lumière les tendances de déploiement et d'utilisation des applications cloud. Ce rapport montre clairement que les organisations ne se contentent pas d’adopter les dernières technologies, elles en sécurisent le périmètre d'accès.
Mais face au nombre croissant de cyber-attaques, il reste malgré tout aux entreprises une certaine marge pour muscler leurs lignes de défense. Utiliser les nouvelles technologies de sécurité et mettre en place une politique forte de mots de passe et d’authentification multi-facteurs (MFA) font notamment partie des premières pratiques que toute entreprise se doit d’adopter afin de réellement renforcer sa sécurité contre notamment les accès frauduleux à l'origine de la grande majorité des fuites de données.
Voici quelques clés pour mieux comprendre les nouvelles menaces que les organisations rencontrent aujourd’hui et pour identifier les solutions permettant de les adresser.
Tirer parti des nouvelles technologies
Les investisseurs se tournent désormais massivement vers des entreprises qui disposent de solutions ou de cas d’usage liés à la sécurité comme Jamf, KnowBe4, DigiCert, Cisco Umbrella, Mimecast, Sophos, ou CloudFlare, toutes classées dans le top 15 des applications en plus forte progression. Jamf, qui fournit un logiciel de gestion et de sécurisation des terminaux Apple, a été l’application présentant la plus forte croissance au sein de notre réseau de solutions intégrées avec 38 % d’augmentation d’une année sur l’autre. Cette croissance souligne non seulement la forte demande émanant des collaborateurs eux‑mêmes d’adoption des produits Apple dans l’entreprise mais aussi la recherche par les départements informatiques de solutions qui permettent de fournir tous les outils attendus par les employés, tout en conservant le contrôle et la sécurité requis.
KnowBe4, plateforme de sensibilisation à la sécurité et de simulation d'hameçonnage (ou phishing), a connu une croissance de 290 % l’année dernière, démontrant le besoin d’éducation des collaborateurs aux meilleures pratiques de sécurité et aux méthodes pour prévenir les usurpations d’identité. Ce changement est une conséquence directe du RGPD, qui a éveillé la conscience des entreprises à la protection des données qu’elles détiennent, et aux pénalités ou aux risques d'image induits par une faille de sécurité. Tous les niveaux de l’entreprise, des plus juniors aux membres du comité de direction, doivent être responsabilisés sur l’identification et le signalement de fuites de données potentielles, et ainsi mettre en place les protocoles appropriés pour sécuriser leurs données personnelles. Les politiques de sécurité doivent maintenant faire partie de la culture de l’entreprise et non plus être un sujet parmi d'autres dont seuls les experts de la sécurité auraient la responsabilité dans l'entreprise.
Comprendre les niveaux de menaces
En 2017, une recherche Verizon a établi que 81 % des piratages sont dus à des identités compromises. Mais que savons-nous de ces usurpations ? Si la Russie et la Chine font les gros titres quand on parle de fuites de données, il ne faut pas oublier les attaques qui viennent des autres régions du monde. On en entend peu parler car 50 % de ces attaques n’ont pas encore d’antécédents dans la communauté, mais parmi celles-ci 36 % viennent d’Europe (France 19 %, Pays-Bas 12 %, Russie 11 %, Allemagne 10 %). Cependant, comme il est facile pour les criminels de faire croire que l’attaque vient d’une autre région, ces chiffres sont à prendre avec la plus grande précaution.
Alors que nous dit vraiment l’éventail des menaces ? Il est clair que les services cloud et on-premise sont attaqués et les identifiants restent une prise de choix pour les hackers. Ces attaques ne sont pas non plus réparties de façon égale à travers le monde. Pour mieux se protéger les entreprises doivent mettre en place leur propre système de détection et de surveillance, sans oublier que les attaques peuvent avoir des origines multiples. Et, pour compliquer les choses, 23 % des attaques proviennent de nœuds de sortie du réseau Tor, en d’autres termes, du dark web. Tor permet aux criminels de se camoufler dans un cloud anonyme, les rendant inatteignables pour toute poursuite. À moins que les collaborateurs de l’entreprise n’aient une bonne raison d’utiliser Tor ou des proxys anonymes, ces adresses IP doivent être bloquées par défaut.
Renforcer la politique de mots de passe
Il est important de comprendre les techniques utilisées par les hackers afin de pouvoir réduire les risques d’usurpation d’identité. Les trois techniques les plus communes sont les suivantes : le phishing d’identité, le password spraying et l’attaque par force brute.
Pour que le phishing d’identité fonctionne, il suffit qu’un seul utilisateur clique sur un lien malfaisant et entre ses identifiants pour créer une brèche de sécurité. L’attaquant se fait passer pour un tiers de confiance afin de tromper la victime et de récupérer ses identifiants.
Le password spraying utilise des mots de passe communs (comme motdepasse ou 123456) et les "pulvérise" sur un ensemble de comptes ou de domaines utilisant des services cloud, comme un jeu de devinettes, avec l’espoir que l’un d’entre eux fonctionne.
L’attaque par force brute ressemble au password spraying mais consiste à tester plusieurs mots de passe de manière plus ou moins intelligente pour essayer de trouver le bon !
Il y a plusieurs niveaux de sophistication pour chacune de ces menaces et les organisations doivent les anticiper de différentes manières. Instaurer des mots de passe plus sécurisés est une première étape : un comparatif rapide de la politique de mots de passe des entreprises avec ceux qui ont fuité publiquement a démontré que même lorsqu’ils en avaient la possibilité, les utilisateurs ne faisaient que trop rarement le bon choix. Les organisations devraient donc suivre les recommandations de la CNIL qui conseille de renforcer la complexité à travers une chaîne plus longue, d’au moins huit caractères. D’après nos recherches, seulement 49,5 % de cette liste publique de mots de passe utilisaient au moins huit caractères. C’est la preuve qu’une vraie politique de mots de passe doit être mise en place. Mathématiquement, il faudrait 7 000 ans à un hacker pour deviner un mot de passe de huit caractères, mais, bien entendu, les criminels utilisent d’autres techniques sophistiquées pour réduire ce temps à quelques secondes.
Avec les centaines de millions de mots de passe exposés en ligne suite à de précédentes fuites, les pirates peuvent essayer de se connecter avec ces informations puisqu’elles sont souvent utilisées sur plusieurs comptes. Ils peuvent ainsi profiter des mauvaises habitudes, comme ajouter un caractère spécial à la fin ou une majuscule au début du nom d’utilisateur, tout en faisant juste assez d’essais pour ne pas bloquer le compte. Bien que les algorithmes pour craquer les mots de passe fassent de gros progrès, les organisations peuvent quand même réduire les risques en interdisant à leurs collaborateurs d’utiliser des mots de passe trop communs ou ayant déjà fuité. Mais, malgré tout, il n’y a pas de panacée, en particulier contre le phishing : la complexité du mot de passe n’a plus aucune importance puisqu’il est transmis "volontairement". Que peuvent donc faire les entreprises pour se protéger ?
Mettre en place une authentification multi-facteurs (MFA)
Un mot de passe fort est une pièce importante du puzzle de sécurité, mais instaurer un second facteur d’authentification permet d’en renforcer la protection. La bonne nouvelle, c’est que l’utilisation du MFA se développe de plus en plus, avec 70% des clients Okta qui proposent au moins trois options à leurs utilisateurs, quand ils n’étaient que 62% l’année dernière.
Certains seconds niveaux d'authentification ne sont pas suffisants. L’envoi de SMS ou l’ajout d’une question de sécurité sont un début, mais ce ne sont pour autant pas encore les meilleures options. Les entreprises auraient tout intérêt à mettre en place des solutions MFA plus sécurisées, telles que Okta Verify ou Yubikey et implémenter un système d'intelligence interne, basé sur la collecte et la connaissance des nouveaux types de menace, pour surveiller de près leurs services et mettre à jour les politiques d’authentification à chaque fois que de nouvelles menaces rendent une modification nécessaire.
La sécurité va, et doit, rester l’une des priorités des entreprises pour l’année à venir. En adoptant des solutions d’authentification simples et en utilisant au maximum les technologies disponibles aujourd’hui, les organisations seront en meilleure position pour maximiser la protection de leurs données et ainsi éviter de devenir la prochaine victime d’une fuite massive de données.