Les failles de sécurité n'ont pas cessé de faire la une des journaux ces derniers mois, et si les pirates s'attaquent toujours aux données des cartes de crédit, la tendance est à l'enrichissement des données et à l'exploitation de divers actifs clés au sein d'une organisation. En conséquence, les organisations doivent développer de nouveaux schémas pour identifier et suivre les actifs d'information clés.
La plus grande brèche récente dans le secteur financier s'est produite chez JP Morgan Chase, où l'on estime que 76 millions de dossiers de clients et 8 millions de dossiers appartenant à des entreprises ont été dérobés sur plusieurs serveurs internes. Chez Morgan Stanley, un employé du groupe de gestion de patrimoine de la société a été licencié après la fuite d'informations concernant jusqu'à 10 % de la clientèle la plus fortunée de Morgan Stanley. La plus grande faille dans le secteur de la santé a été encore plus sensible : chez Anthem, plus de 80 millions de dossiers contenant des informations personnelles identifiables (IPI), y compris des numéros de sécurité sociale, ont été divulgués. Moins connu, mais potentiellement plus coûteux en termes de dommages et de litiges, le vol présumé de secrets commerciaux par l'ancien PDG de Chesapeake's Energy (NYSE : CHK).
Quel est le point commun de ces violations et qu'est-ce qui les rend si graves ?
Morgan Stanley et Chesapeake Energy ont toutes deux fait l'objet de menaces sur le site individu , où des employés autorisés ont accédé aux actifs de l'entreprise et les ont volés, tandis que JPMC et Anthem ont fait l'objet de cyberattaques ciblées où des pirates se sont introduits dans des bases de données internes et ont volé des dossiers de clients contenant des informations personnelles identifiables. Dans les quatre cas, les actifs clés n'étaient pas suffisamment sécurisés au sein du réseau de l'entreprise en raison d'une négligence, ou simplement d'une ignorance de l'importance de la surveillance requise pour les actifs spéciaux. La violation d'Anthem est particulièrement inquiétante car l'accès aux données PII très sensibles n'était pas étroitement contrôlé et les données n'étaient pas non plus cryptées lorsqu'elles étaient "au repos".
Les pirates et les initiés s'attaquent aux actifs clés
Les tendances sont claires : aujourd'hui, les pirates et les initiés pensent en termes d'"actifs clés". Les numéros de cartes de crédit ont été la cible privilégiée des vols et des violations, mais l'amélioration de la détection des fraudes par les sociétés de cartes de crédit et le passage aux cartes de crédit à puce ont réduit leur valeur sur le marché noir. Dans le même temps, la valeur des données plus générales (données personnelles, informations sur la santé et propriété intellectuelle) a augmenté. En conséquence, les données personnelles se vendent dix fois plus cher que les numéros de cartes de crédit volés.
Plus important encore, des montagnes d'entrées de données apparemment sans valeur peuvent devenir des informations précieuses lorsqu'elles sont mises en corrélation avec d'autres données telles que les adresses personnelles et les pseudos Twitter. La collecte de grandes quantités de données et l'application de techniques d'exploration et de science des données ont permis aux malfaiteurs d'extraire de la valeur de grandes quantités de données non structurées. Selon la DARPA, environ 80 % des Américains peuvent être identifiés à l'aide de trois éléments d'information.
Souvent, la valeur des actifs clés n'est pas visible à première vue, soit parce que le contenu informatif d'une ressource est inconnu (par exemple, des fichiers sensibles sur un serveur spécifique), soit parce que le contenu est connu, mais que sa valeur est inconnue (par exemple, des adresses électroniques, des handles Twitter et d'autres données accessibles au public).
Dans les deux cas, il est difficile de maîtriser la situation : La première est souvent due à une erreur humaine ou à des lacunes systémiques difficiles à contrôler, tandis que la seconde exigerait des équipes InfoSec des entreprises qu'elles évaluent les capacités, la créativité et la motivation des pirates informatiques. Dans les deux cas, une restriction totale de l'accès aux données ou une fermeture des ressources du réseau n'est pas une solution pratique.
Identifier les actifs clés pour garder le contrôle d'une situation
Le problème se résume à une identification et un suivi fiables et opportuns des actifs clés. Si vous savez où se trouvent vos actifs clés (par exemple, des informations de valeur), vous pouvez prendre des mesures de protection appropriées et réagir de manière beaucoup plus précise aux menaces. Une intrusion dans le réseau de votre entreprise ou l'accès non autorisé d'une personne ( individu ) à des machines du réseau peuvent être immédiatement évalués, voire évités, si vous connaissez la proximité de la menace par rapport à vos actifs clés. Alors, comment pouvez-vous identifier, suivre et mettre à jour l'ensemble des actifs que vous devez suivre dans votre réseau ?
Il n'existe pas de recette universelle pour créer cette liste d'actifs clés et la tenir à jour. Une bonne façon de commencer est d'utiliser des moyens manuels et automatiques pour identifier ce qui est important dans votre réseau. L'identification manuelle permet de repérer les informations sur le réseau en fonction de la valeur de leur contenu, tandis que l'identification automatique permet d'exposer les actifs en fonction de leur fréquence ou de leur durée d'utilisation (en supposant que la fréquence ou la durée équivaut à la valeur).
Pour l'identification manuelle, la première question à se poser est de savoir quelles sont les informations auxquelles vous accordez de la valeur et quelles sont celles qui, si elles étaient volées, pourraient être utiles à quelqu'un d'extérieur à votre organisation. Comme indiqué plus haut, il ne s'agit pas seulement de numéros de cartes de crédit et de dossiers clients, mais aussi de chiffres de vente, de présentations de l'entreprise et même de fichiers journaux d'activité. Plus l'examen manuel est approfondi, meilleure sera la liste finale des actifs clés.
Une fois la liste établie, l'étape suivante consiste à localiser les informations identifiées et à les placer au centre de toute enquête sur les menaces. Les informations résident-elles uniquement sur des serveurs spécifiques avec accès à distance ? Ou pourraient-elles être copiées sur des serveurs de fichiers ou des ordinateurs portables moins sécurisés ? Cela devrait permettre de dresser une carte des emplacements des actifs clés potentiels.
Une analyse similaire, mais complémentaire, peut être effectuée automatiquement en observant l'activité du réseau. Recherchez les données les plus fréquemment consultées sur le réseau. La fréquence d'accès aux données permet d'obtenir des éléments d'information plutôt insignifiants (tels que des pages wiki), mais elle révèle très souvent des informations stockées à divers endroits qui n'ont pas été prises en compte lors de l'examen manuel. En outre, le suivi et l'identification automatiques peuvent être effectués en permanence, ce qui permet d'afficher immédiatement les nouvelles sources d'information critiques sur le réseau au fur et à mesure de leur apparition.
La dernière pièce du puzzle, et la plus importante, est évidemment la surveillance efficace de l'activité impliquant les actifs clés identifiés. Toute activité malveillante ou tout dommage est susceptible de se produire autour de ces actifs, ce qui limite l'espace dans lequel il est possible d'effectuer des recherches.
Toutefois, pour que le contrôle soit sûr et préventif, il ne suffit pas de rechercher des schémas d'accès prédéfinis (tels que des téléchargements importants), mais aussi des anomalies. Seules les anomalies permettront de détecter de futures activités malveillantes autour des actifs clés.
Bien que le risque de la menace individu soit évident, il reste l'un des aspects les plus sous-estimés et les plus négligés de la cybersécurité. Ce rapport présente les mesures que chaque organisation peut prendre pour s'engager sur la bonne voie afin d'arrêter les menaces individu .
Cet article a été publié à l'origine dans le cadre du IDG Contributor Network.