David Higgins, Directeur Technique chez CyberArk
Il est désormais largement admis que les données constituent l’actif le plus précieux au monde et représentent une cible alléchante pour les pirates informatiques dont les motivations sont multiples. Le plus souvent, ils cherchent à obtenir des informations d’identification qu’ils pourront utiliser pour infiltrer des entreprises et cibler des données sensibles et précieuses. Les attaquants cherchent à causer des dommages irréparables dans toute une série de secteurs, allant de la saisie des connexions administratives des entreprises au piratage des données médicales afin de demander une rançon contre la divulgation d’informations personnelles sensibles. Selon un scénario tragique, mais potentiellement réaliste, cela pourrait même empêcher un médecin d’effectuer une opération qui pourrait sauver une vie, notamment parce que les dossiers du patient ne sont pas disponibles.
Les cybercriminels connaîtront inévitablement le succès de temps en temps. Pour préserver la sécurité nationale, il est impératif de s’attaquer à cette menace et de limiter les possibilités d’infiltration d’un réseau suite à une cyberattaque réussie. L’infiltration ou la compromission d’infrastructures nationales critiques, par exemple, pourrait logiquement provoquer la perte de contrôle de services publics, tels que les services énergétiques, les soins de santé et les administrations publiques, ce qui poserait un risque grave pour la sécurité publique. Cette journée annuelle de la protection des données doit inciter à prendre du recul pour appréhender non seulement la valeur des données que nous détenons, mais aussi l’importance de n’y autoriser l’accès qu’aux personnes et aux systèmes qui en ont besoin.
Cyber-leçon nº 1 : Equifax (rapportée en 2017) – Plusieurs défaillances techniques en parallèle – notamment un dispositif mal configuré qui scanne le trafic chiffré et un scan automatique qui n’a pas réussi à identifier une version vulnérable d’Apache Struts – ont finalement conduit à la brèche qui a touché 145 millions de clients aux États-Unis et 10 millions de citoyens au Royaume-Uni.
On retient ici qu’il faut faire les bons choix en matière de sécurité. Les cyberattaques sont de plus en plus ciblées et dévastatrices, mais la faille d’Equifax a rappelé à l’industrie qu’il ne faut jamais ignorer les principes de base de la sécurité. Les correctifs doivent être appliqués rapidement, les certificats de sécurité doivent être tenus à jour, et ainsi de suite. Cette brèche a également incité les élus à faire pression en faveur d’une législation plus stricte afin de renforcer la réglementation sur la protection requise des données des consommateurs.
Cyber-leçon nº 2 des méga-brèches : Uber (rapportée en 2017) – En 2017, Uber a révélé avoir été victime d’une faille de sécurité d’un an ayant exposé des renseignements personnels appartenant à 57 millions de conducteurs et de clients.
On retient ici la nécessité de ne pas conserver de code dans une base de données accessible au public. Les données d’Uber ont été exposées parce que les clés d’accès au système AWS étaient intégrées dans un code stocké dans un référentiel de codes d’entreprise par un contractant tiers. La conclusion qui s’impose est qu’aucun référentiel de codes n’est un endroit sûr pour stocker des informations d’identification.
Cyber-leçon nº 3 : Cambridge Analytica sur Facebook (rapportée en 2018) – Cambridge Analytica a recueilli les données personnelles des profils Facebook de millions de personnes sans leur consentement et les a utilisées à des fins de campagne politique. Le scandale a finalement éclaté en mars 2018 avec le signalement d’un lanceur d’alertes, et Facebook a été condamné à une amende de 663 000 $, soit l’amende maximale autorisée au moment de la brèche.
On retient ici de protéger les données des utilisateurs (ou payer). Les législateurs affirment que Facebook ʺa enfreint la loi en ne protégeant pas les informations des utilisateursʺ – et en a subi les conséquences. À présent, le gouvernement américain exerce une pression supplémentaire sur Facebook afin de mettre un terme à la diffusion de fake news, à l’ingérence étrangère dans les élections et aux discours de haine (sous peine d’amendes supplémentaires plus élevées).
Cyber-leçon nº 4 : la brèche équatorienne (rapportée en 2019) – Les données d’environ 17 millions de citoyens équatoriens, dont 6,7 millions d’enfants, ont été compromises en raison d’une vulnérabilité sur un serveur AWS Elasticsearch non sécurisé sur lequel l’Équateur stocke certaines de ses données. Un serveur similaire d’Elasticsearch a exposé les choix électoraux d’environ 14,3 millions de personnes au Chili, soit près de 80 % de sa population.
On retient ici de respecter le modèle de responsabilité partagée. La plupart des fournisseurs de services dans le cloud fonctionnent selon un modèle de responsabilité partagée, dans le cadre duquel le fournisseur gère la sécurité jusqu’à un certain point. Au-delà, cela devient la responsabilité des utilisateurs de ce service. Alors que de plus en plus d’agences gouvernementales se tournent vers le cloud pour améliorer leur flexibilité et mieux servir leurs citoyens, il est essentiel qu’elles continuent à faire évoluer leurs stratégies de sécurité dans le cloud pour se protéger de manière proactive contre les nouvelles menaces et renforcer la confiance des citoyens qui dépendent de leurs services.
Cyber-leçon nº 5 : Desjardins (rapportée en 2019) – La faille qui a divulgué des informations concernant 2,9 millions de membres n’était pas le fait d’un cyber-attaquant extérieur, mais d’un initié malveillant – un individu au sein du département informatique de l’entreprise qui a décidé de jouer les pirates et de voler des informations personnelles protégées à son employeur.
On retient ici d’être proactif dans l’identification des comportements inhabituels/non autorisés. Si les menaces internes peuvent être plus difficiles à identifier, en particulier lorsque l’utilisateur dispose de droits d’accès à privilèges, la mise en place d’une solution permettant de surveiller les activités inhabituelles et non autorisées et de prendre des mesures correctives automatisées si nécessaire peut contribuer à réduire le temps nécessaire pour stopper une attaque et minimiser l’exposition des données. Cette brèche montre qu’il n’a jamais été aussi important de mettre en place une stratégie de sécurité approfondie englobant la sécurité des accès à privilèges, l’authentification multi-facteurs et la détection des comportements anormaux à l’aide d’outils, tels que la surveillance de l’activité des bases de données.
Les cybercriminels connaîtront inévitablement le succès de temps en temps. Pour préserver la sécurité nationale, il est impératif de s’attaquer à cette menace et de limiter les possibilités d’infiltration d’un réseau suite à une cyberattaque réussie. L’infiltration ou la compromission d’infrastructures nationales critiques, par exemple, pourrait logiquement provoquer la perte de contrôle de services publics, tels que les services énergétiques, les soins de santé et les administrations publiques, ce qui poserait un risque grave pour la sécurité publique. Cette journée annuelle de la protection des données doit inciter à prendre du recul pour appréhender non seulement la valeur des données que nous détenons, mais aussi l’importance de n’y autoriser l’accès qu’aux personnes et aux systèmes qui en ont besoin.
Cyber-leçon nº 1 : Equifax (rapportée en 2017) – Plusieurs défaillances techniques en parallèle – notamment un dispositif mal configuré qui scanne le trafic chiffré et un scan automatique qui n’a pas réussi à identifier une version vulnérable d’Apache Struts – ont finalement conduit à la brèche qui a touché 145 millions de clients aux États-Unis et 10 millions de citoyens au Royaume-Uni.
On retient ici qu’il faut faire les bons choix en matière de sécurité. Les cyberattaques sont de plus en plus ciblées et dévastatrices, mais la faille d’Equifax a rappelé à l’industrie qu’il ne faut jamais ignorer les principes de base de la sécurité. Les correctifs doivent être appliqués rapidement, les certificats de sécurité doivent être tenus à jour, et ainsi de suite. Cette brèche a également incité les élus à faire pression en faveur d’une législation plus stricte afin de renforcer la réglementation sur la protection requise des données des consommateurs.
Cyber-leçon nº 2 des méga-brèches : Uber (rapportée en 2017) – En 2017, Uber a révélé avoir été victime d’une faille de sécurité d’un an ayant exposé des renseignements personnels appartenant à 57 millions de conducteurs et de clients.
On retient ici la nécessité de ne pas conserver de code dans une base de données accessible au public. Les données d’Uber ont été exposées parce que les clés d’accès au système AWS étaient intégrées dans un code stocké dans un référentiel de codes d’entreprise par un contractant tiers. La conclusion qui s’impose est qu’aucun référentiel de codes n’est un endroit sûr pour stocker des informations d’identification.
Cyber-leçon nº 3 : Cambridge Analytica sur Facebook (rapportée en 2018) – Cambridge Analytica a recueilli les données personnelles des profils Facebook de millions de personnes sans leur consentement et les a utilisées à des fins de campagne politique. Le scandale a finalement éclaté en mars 2018 avec le signalement d’un lanceur d’alertes, et Facebook a été condamné à une amende de 663 000 $, soit l’amende maximale autorisée au moment de la brèche.
On retient ici de protéger les données des utilisateurs (ou payer). Les législateurs affirment que Facebook ʺa enfreint la loi en ne protégeant pas les informations des utilisateursʺ – et en a subi les conséquences. À présent, le gouvernement américain exerce une pression supplémentaire sur Facebook afin de mettre un terme à la diffusion de fake news, à l’ingérence étrangère dans les élections et aux discours de haine (sous peine d’amendes supplémentaires plus élevées).
Cyber-leçon nº 4 : la brèche équatorienne (rapportée en 2019) – Les données d’environ 17 millions de citoyens équatoriens, dont 6,7 millions d’enfants, ont été compromises en raison d’une vulnérabilité sur un serveur AWS Elasticsearch non sécurisé sur lequel l’Équateur stocke certaines de ses données. Un serveur similaire d’Elasticsearch a exposé les choix électoraux d’environ 14,3 millions de personnes au Chili, soit près de 80 % de sa population.
On retient ici de respecter le modèle de responsabilité partagée. La plupart des fournisseurs de services dans le cloud fonctionnent selon un modèle de responsabilité partagée, dans le cadre duquel le fournisseur gère la sécurité jusqu’à un certain point. Au-delà, cela devient la responsabilité des utilisateurs de ce service. Alors que de plus en plus d’agences gouvernementales se tournent vers le cloud pour améliorer leur flexibilité et mieux servir leurs citoyens, il est essentiel qu’elles continuent à faire évoluer leurs stratégies de sécurité dans le cloud pour se protéger de manière proactive contre les nouvelles menaces et renforcer la confiance des citoyens qui dépendent de leurs services.
Cyber-leçon nº 5 : Desjardins (rapportée en 2019) – La faille qui a divulgué des informations concernant 2,9 millions de membres n’était pas le fait d’un cyber-attaquant extérieur, mais d’un initié malveillant – un individu au sein du département informatique de l’entreprise qui a décidé de jouer les pirates et de voler des informations personnelles protégées à son employeur.
On retient ici d’être proactif dans l’identification des comportements inhabituels/non autorisés. Si les menaces internes peuvent être plus difficiles à identifier, en particulier lorsque l’utilisateur dispose de droits d’accès à privilèges, la mise en place d’une solution permettant de surveiller les activités inhabituelles et non autorisées et de prendre des mesures correctives automatisées si nécessaire peut contribuer à réduire le temps nécessaire pour stopper une attaque et minimiser l’exposition des données. Cette brèche montre qu’il n’a jamais été aussi important de mettre en place une stratégie de sécurité approfondie englobant la sécurité des accès à privilèges, l’authentification multi-facteurs et la détection des comportements anormaux à l’aide d’outils, tels que la surveillance de l’activité des bases de données.
