Michael Fimin, CEO and co-fondateur de Netwrix
Selon des experts comme Michael Rogers, Amiral de l’US Navy à la NASA et chef du Cyber Command américain, un nouveau type d’attaque se développe particulièrement ces derniers temps : la manipulation des données, c’est-à-dire la modification non-autorisée au sein de systèmes critiques tels que des bases de données contenant des données personnelles. Selon lui, la manipulation des données peut devenir la cyber-menace la plus redoutable pour les entreprises, quels que soient leur taille et leur secteur, dans la mesure où les organisations ne pourraient plus avoir confiance dans leurs propres données.
La manipulation de données peut avoir de nombreuses motivations. Cela peut aller de l’acte de vengeance d’un employé mécontent à l’espionnage industriel, ou encore une campagne menée par des activistes pour attirer l’attention du public sur leur cause en corrompant les données d’une entreprise.
Quelles que soient ces motivations, les conséquences peuvent être graves. Surtout si l’entreprise travaille pour le gouvernement, le secteur médical, le secteur financier ou d’autres secteurs hautement réglementés. Les dégâts causés par la manipulation sur des données, des applications et des systèmes critiques peuvent perturber ou bloquer les activités d’une entreprise de manière durable, et même aller jusqu’à mettre la vie d’individus en danger. Cela va sans dire, les services IT ne peuvent tout simplement pas se permettre que des attaques par manipulation de données corrompent la propriété intellectuelle de leur entreprise ou le dossier médical d’un patient.
Afin d’aider les entreprises à répondre à ces menaces et à réduire les risques de sécurité et de conformité, voici 5 signes avant-coureurs qui doivent alerter d’une possible tentative de manipulation de données. Bien sûr, l’un de ces signes pris individuellement ne doit pas forcément être interprété comme une alerte de sécurité majeure. Toutefois, chacun d’entre eux peut être un bon prétexte pour effectuer des contrôles et vérifier ce qui se passe effectivement sur l’environnement IT.
1. Un pic anormal d’échec
Les échecs de tentative de lecture surviennent lorsqu’un utilisateur tente d’ouvrir un fichier auquel il n’a pas accès. Une tentative ratée isolée peut être accidentelle (par exemple, l’utilisateur peut simplement avoir oublié ses identifiants) ou liée aux règles internes (par exemple si un salarié tente d’accéder aux fiches de paie de l’entreprise ou à d’autres documents confidentiels). En revanche, plusieurs tentatives ratées par un même utilisateur à partir de différents points ou adresses IP, ou plusieurs tentatives ratées de différents utilisateurs connectés depuis la même adresse sont des indices d’une tentative de cyber-attaque. Suivre attentivement les pics inhabituels d’échecs de connexion aidera le service IT à rapidement identifier si les comptes utilisateurs ont été corrompus.
2. Un pic d’accès aux données
Un très grand nombre des fichiers ouverts, lus, modifiés ou effacés par une personne dans un très court laps de temps doit attirer l’attention. Que faisait l’utilisateur et pourquoi ? Quels sont les autres fichiers qu’il a ouverts récemment ? Il y a de fortes chances pour qu’il s’agisse d’une attaque malveillante, d’un vol de données ou même d’une attaque de type ransomware.
3. Une activité inhabituelle d’accès aux données
Plusieurs utilisateurs essayant d’accéder à des données sensibles auxquelles ils n’ont jamais accédé auparavant, ou des utilisateurs d’habitude inactifs effectuant des nombreuses actions dans un délai court, sont des comportements typiques qui peuvent être le signe d’une tentative d’intrusion. Pour identifier cela, les entreprises doivent savoir qui accède à quelles données. Pour se prémunir, les administrateurs doivent disposer de rapports sur tous les comptes inactifs indiquant le parcours de l’utilisateur, son statut et l’heure de sa dernière connexion. Ainsi, les comptes inutilisés peuvent être supprimés pour éviter toute utilisation malveillante dans le futur. Les droits d’accès doivent également être contrôlés en accord avec le principe du moindre privilège, de sorte que l’accès soit accordé aux seules personnes qui en ont besoin.
4. Une activité en dehors des heures de travail
Le télétravail a rendu banale l’activité des utilisateurs en dehors des heures de travail. Néanmoins, il reste un indicateur précieux pour identifier les menaces internes. Les responsables de la sécurité IT doivent vérifier si certaines actions sont justifiées (par exemple si un employé est en voyage d’affaires ou s’il fait des heures supplémentaires). Sans vérification, l’activité des utilisateurs en dehors des heures travail peut être une menace pour l’intégrité des données. Cela est d’autant plus vrai pour les entreprises qui gèrent de gros volume de données personnelles sensibles.
5. Un accès à des données archivées
Les données archivées sont une cible tentante pour les accès non-autorisés (internes ou externes). Elles peuvent contenir des données très sensibles comme des dossiers personnels, de la propriété intellectuelle, des secrets commerciaux et des données financières. Un nombre anormalement élevé de consultations ou de modifications de données archivées est une bonne raison pour effectuer un contrôle de sécurité. Ces indices peuvent trahir une activité malveillante interne ou une attaque externe en cours. Pour réduire le risque d’exposition des données sensibles ou de manipulation des données, vérifiez attentivement les autorisations des utilisateurs et retirez celles qui sont inutiles, afin que seuls les utilisateurs concernés aient accès aux archives de l’entreprise.
Les entreprises qui ne contrôlent pas suffisamment et n’ont pas une connaissance suffisante de ce qui se passe au sein de leur environnement IT sont les plus menacées. Des informations critiques qui ont été délibérément modifiées peuvent avoir un impact sur les décisions stratégiques de l’entreprise et de graves conséquences en termes financiers et de réputation. Il n’est pas nécessaire d’être un professionnel de l’IT pour menacer une entreprise. Les statistiques montrent que les employés sont la première cause de manipulation et corruption de données.
Pour contrer efficacement les risques de manipulation de données et protéger les données sensibles des accès non-autorisés, les entreprises doivent être capables d’identifier rapidement un comportement utilisateur anormal, repérer les accès inhabituels et ainsi agir pour prendre en compte les cas particuliers.
Seules la vigilance vis-à-vis des menaces et une parfaite visibilité sur l’activité à tous les niveaux de l’infrastructure IT – tout en évitant les surcharges de données et les fausses alertes – pourront aider les entreprises à détecter une activité non-autorisée et réduire les risques d’attaques.
La manipulation de données peut avoir de nombreuses motivations. Cela peut aller de l’acte de vengeance d’un employé mécontent à l’espionnage industriel, ou encore une campagne menée par des activistes pour attirer l’attention du public sur leur cause en corrompant les données d’une entreprise.
Quelles que soient ces motivations, les conséquences peuvent être graves. Surtout si l’entreprise travaille pour le gouvernement, le secteur médical, le secteur financier ou d’autres secteurs hautement réglementés. Les dégâts causés par la manipulation sur des données, des applications et des systèmes critiques peuvent perturber ou bloquer les activités d’une entreprise de manière durable, et même aller jusqu’à mettre la vie d’individus en danger. Cela va sans dire, les services IT ne peuvent tout simplement pas se permettre que des attaques par manipulation de données corrompent la propriété intellectuelle de leur entreprise ou le dossier médical d’un patient.
Afin d’aider les entreprises à répondre à ces menaces et à réduire les risques de sécurité et de conformité, voici 5 signes avant-coureurs qui doivent alerter d’une possible tentative de manipulation de données. Bien sûr, l’un de ces signes pris individuellement ne doit pas forcément être interprété comme une alerte de sécurité majeure. Toutefois, chacun d’entre eux peut être un bon prétexte pour effectuer des contrôles et vérifier ce qui se passe effectivement sur l’environnement IT.
1. Un pic anormal d’échec
Les échecs de tentative de lecture surviennent lorsqu’un utilisateur tente d’ouvrir un fichier auquel il n’a pas accès. Une tentative ratée isolée peut être accidentelle (par exemple, l’utilisateur peut simplement avoir oublié ses identifiants) ou liée aux règles internes (par exemple si un salarié tente d’accéder aux fiches de paie de l’entreprise ou à d’autres documents confidentiels). En revanche, plusieurs tentatives ratées par un même utilisateur à partir de différents points ou adresses IP, ou plusieurs tentatives ratées de différents utilisateurs connectés depuis la même adresse sont des indices d’une tentative de cyber-attaque. Suivre attentivement les pics inhabituels d’échecs de connexion aidera le service IT à rapidement identifier si les comptes utilisateurs ont été corrompus.
2. Un pic d’accès aux données
Un très grand nombre des fichiers ouverts, lus, modifiés ou effacés par une personne dans un très court laps de temps doit attirer l’attention. Que faisait l’utilisateur et pourquoi ? Quels sont les autres fichiers qu’il a ouverts récemment ? Il y a de fortes chances pour qu’il s’agisse d’une attaque malveillante, d’un vol de données ou même d’une attaque de type ransomware.
3. Une activité inhabituelle d’accès aux données
Plusieurs utilisateurs essayant d’accéder à des données sensibles auxquelles ils n’ont jamais accédé auparavant, ou des utilisateurs d’habitude inactifs effectuant des nombreuses actions dans un délai court, sont des comportements typiques qui peuvent être le signe d’une tentative d’intrusion. Pour identifier cela, les entreprises doivent savoir qui accède à quelles données. Pour se prémunir, les administrateurs doivent disposer de rapports sur tous les comptes inactifs indiquant le parcours de l’utilisateur, son statut et l’heure de sa dernière connexion. Ainsi, les comptes inutilisés peuvent être supprimés pour éviter toute utilisation malveillante dans le futur. Les droits d’accès doivent également être contrôlés en accord avec le principe du moindre privilège, de sorte que l’accès soit accordé aux seules personnes qui en ont besoin.
4. Une activité en dehors des heures de travail
Le télétravail a rendu banale l’activité des utilisateurs en dehors des heures de travail. Néanmoins, il reste un indicateur précieux pour identifier les menaces internes. Les responsables de la sécurité IT doivent vérifier si certaines actions sont justifiées (par exemple si un employé est en voyage d’affaires ou s’il fait des heures supplémentaires). Sans vérification, l’activité des utilisateurs en dehors des heures travail peut être une menace pour l’intégrité des données. Cela est d’autant plus vrai pour les entreprises qui gèrent de gros volume de données personnelles sensibles.
5. Un accès à des données archivées
Les données archivées sont une cible tentante pour les accès non-autorisés (internes ou externes). Elles peuvent contenir des données très sensibles comme des dossiers personnels, de la propriété intellectuelle, des secrets commerciaux et des données financières. Un nombre anormalement élevé de consultations ou de modifications de données archivées est une bonne raison pour effectuer un contrôle de sécurité. Ces indices peuvent trahir une activité malveillante interne ou une attaque externe en cours. Pour réduire le risque d’exposition des données sensibles ou de manipulation des données, vérifiez attentivement les autorisations des utilisateurs et retirez celles qui sont inutiles, afin que seuls les utilisateurs concernés aient accès aux archives de l’entreprise.
Les entreprises qui ne contrôlent pas suffisamment et n’ont pas une connaissance suffisante de ce qui se passe au sein de leur environnement IT sont les plus menacées. Des informations critiques qui ont été délibérément modifiées peuvent avoir un impact sur les décisions stratégiques de l’entreprise et de graves conséquences en termes financiers et de réputation. Il n’est pas nécessaire d’être un professionnel de l’IT pour menacer une entreprise. Les statistiques montrent que les employés sont la première cause de manipulation et corruption de données.
Pour contrer efficacement les risques de manipulation de données et protéger les données sensibles des accès non-autorisés, les entreprises doivent être capables d’identifier rapidement un comportement utilisateur anormal, repérer les accès inhabituels et ainsi agir pour prendre en compte les cas particuliers.
Seules la vigilance vis-à-vis des menaces et une parfaite visibilité sur l’activité à tous les niveaux de l’infrastructure IT – tout en évitant les surcharges de données et les fausses alertes – pourront aider les entreprises à détecter une activité non-autorisée et réduire les risques d’attaques.
Autres articles
-
Bilan du RGPD pour ses 5 ans
-
Journée de la protection des données : les vulnérabilités persistent en entreprise
-
Netwrix et Stealthbits unissent leurs forces en vue de satisfaire la demande croissante de protection des données sensibles
-
Les organismes financiers sont enclins à relâcher leurs pratiques en matière de cybersécurité et s'exposent à des risques de violation de données
-
Netwrix simplifie le traitement des demandes d'accès aux données
