Dans sa déclaration, Desjardins indique que de nouvelles mesures sont mises en place pour prévenir de futurs incidents. Elles devraient inclure un plan solide sur la mise en œuvre de la sécurité des accès à privilèges afin de limiter de manière proactive les privilèges des utilisateurs, et de contrôler les accès dans le but de réduire le risque d'attaques d'initiés. Ainsi chaque utilisateur accédera uniquement aux informations sensibles dont il aura besoin pour accomplir son travail, selon la politique du moindre privilège, et toute activité malveillante pourra alors être détectée et arrêtée rapidement

ce type d'attaque peut toucher n'importe quel organisme financier. C’est pourquoi la sécurisation des accès à privilèges nécessaires pour exfiltrer des informations sensibles, est une étape cruciale de la prévention des menaces internes. Sur la base de notre travail avec les systèmes bancaires mondiaux, il existe six domaines immédiats que des organisations comme Desjardins devraient examiner, mettre en place et renforcer pour prévenir de futures attaques d’initiés. Le risque d'attaques externes qui permettent d’accéder au réseau et d’obtenir le statut d'initiés malveillants en exploitant les identifiants de connexion, les ressources et les actifs d'un employé est ainsi minimisé :

- S’assurer que les mots de passe, les informations d'identification et les secrets privilégiés sont gérés, stockés et changés en fonction de la stratégie. Il convient par exemple, d’effectuer la rotation des mots de passe immédiatement après utilisation, ou en fonction de paramètres de temps préprogrammés ;

- Accorder des privilèges aux utilisateurs uniquement pour les systèmes sur lesquels ils sont autorisés ;

- Appliquer la politique de moindre privilège en accordant l’accès uniquement lorsque cela est nécessaire, et en le révoquant lorsque le besoin prend fin ;

- Éviter aux utilisateurs bénéficiant d’accès à privilèges de posséder ou d’avoir besoin de mots de passe système locaux / directs ;

- Créer une piste d'audit inaltérable pour toute opération sur des accès à privilèges ;

- Détecter et prévenir les attaques impliquant ces accès.

Ce que l’on regroupe sous le terme de « gouvernance des données » est large ; bien plus large que ce que les départements informatiques appellent la « gouvernance du système d’information ». Cette dernière, à vision purement interne au département TI, consiste essentiellement à cataloguer et documenter les données, leur emplacement, leurs règles techniques, etc. La gouvernance des données propose quant à elle une vision métier de la donnée , et non simplement technique. Cette gouvernance est donc orientée métier, orientée valeur, et transverse, englobant à la fois les systèmes opérationnels et transactionnels, et les systèmes décisionnels.Cette vision s’appuie sur trois couches : la gestion des données de référence, la gestion des méta-données, et la couche règlementaire et éthique.La couche de gestion des données de référence, recense l’ensemble des données partagées par plusieurs personnes dans l’organisation, et pour lesquelles un travail de définition commun a été entrepris. C’est le principal outil de suppression des silos informationnels. Ce travail de cartographie impose des discussions internes, et la définition de règles de qualité des données.La couche de gestion des métadonnées couvre d’une part la traçabilité de l’information, de ses transformations et de ses usages (c’est là que le problème de Desjardins n’a pas été détecté), les règles d’accès aux données, et les rôles de chaque personne susceptible d’y accéder. «», explique Shay Nahari, directeur de la Red Team, chez CyberArk.Quant à la troisième couche, elle regroupe les règles éthiques, les modalités de respect des lois propres à un secteur d’activité réglementé (comme la banque ou l’assurance), et les systèmes de contrôle indépendants. C’est dans cette couche supérieure que sont arrimées les bases liées à la mise en place du RGPD, dont en particulier la base des consentements, et le registre des traitements, qui doivent être transverses à l’ensemble des systèmes décisionnels et transactionnels.Dans le cas de Desjardins, il semble qu’un employé ait téléchargé des données de 2,9 millions de clients, et ait pu les sortir de l’entreprise. Des faits qui posent un certain nombre de questions, et suggèrent des réponses potentielles en termes de gouvernance :- L’employé avait légitimement accès, pour son travail, aux données confidentielles de clients, dont le numéro de sécurité sociale, et les habitudes d’achat. Mais son travail était-il bien en relation avec l’ensemble des clients de la banque ? Est-ce normal qu’une même personne ait besoin d’avoir accès aux données de 2,9 millions de clients ?- L’employé a consulté, puis téléchargé les données de 2,9 millions de clients. Un des rôles de la gouvernance des données, est de détecter les usages hors normes. Son travail habituel le conduisait-il vraiment à télécharger les données de 2,9 millions de clients ? Où la gouvernance n’aurait-elle pas dû émettre une alerte en détectant un tel volume de consultation / téléchargement ?- L’employé a pu sortir les données du système d’information. La sécurité physique est ici en question. Une simple clef USB, ou un fichier sur un répertoire partagé, ou un email, suffisent-ils pour mettre en défaut le système de sécurité de Desjardins ?La conclusion est ici assez claire. Il n’est pas possible d’éviter, dans une entreprise de presque 50 000 employés, la malhonnêteté de certains. Mais, sans préjuger de la malhonnêteté de tous, il est nécessaire de mettre en place des contrôles. La confiance ne peut en aucun cas suffire. Et si Guy Cormier, le Président et chef de la direction de l’entreprise, s’est senti trahi par l’employé fautif , il doit en tirer comme leçon que la confiance n’exclut pas le contrôle. Et adapter rapidement le fonctionnement de groupe pour mettre en place une véritable gouvernance des données, des personnes et des processus.Pour Shay Nahari , «