sécurité des données entreprise

Tendances & Actualités

Sécurité des données : quelles menaces pour les entreprises ?

À l’heure où des géants du web reconnaissent avoir été victimes de piratage à très grande échelle, il est permis de s’interroger sur les risques et la réalité des menaces qui planent sur les entreprises.

La piraterie informatique préoccupe les dirigeants. Il est vrai que la cybercriminalité est un fléau persistant : les systèmes d’information présentent régulièrement des failles que des hackers recherchent en permanence. Et les éditeurs de logiciels de sécurité peinent à dépasser l’expertise de ces hackers.

L’intrusion dans les serveurs locaux

L’une des attaques classiques consiste en l’envoi de pièces-jointes infectées. Celles-ci peuvent être relayées jusqu’au serveur de messagerie interne et l’accès à distance à partir de devices infectés accentue les risques de connexions pirates au réseau local de l’entreprise. Certaines failles permettent de déverrouiller des smartphones pour y installer des modules espions (comme Pegasus ou LookOut), à partir d’un simple SMS piégé.

Pour se prémunir, il faut que les terminaux extérieurs traversent un NAC (network access control) au moment où ils se reconnectent. Les solutions informatiques dites de MDM (mobile device management) permettent de gérer les flottes de smartphones ou tablettes et de vérifier si les équipements sont bien à jour en termes de sécurité.

Malgré le chiffrement des données (encryptage), indispensable pour certaines activités, personne n’est à l’abri. Des pirates ont réussi à exploiter des failles dans les flux cryptés (tels que le protocole SSL/ TLS) pour faire passer du trafic malveillant sans que l’on puisse le contrôler.

Sécurité des données : plusieurs types d’intrusions

Tant que les failles n’ont pas été résolues et que les utilisateurs n’ont pas fait leur mise à jour du logiciel incriminé, la menace subsiste. Plusieurs types d’intrusions existent :

  • un virus, qui détruit ou altère des données
  • un cheval de Troie (trojan) qui lance l’exécution d’un module caché capable d’effectuer des recherches sur le disque ou dans la mémoire du poste de travail piraté et qui peut se propager sur toute sa liste de contacts
  • un logiciel espion qui lit les données ou les mots de passe et les exporte. Les pirates peuvent pénétrer alors dans les fichiers de l’entreprise : le poste de travail, devenu “zombie”, est piloté de l’extérieur, parfois jusqu’à la caméra vidéo intégrée.

Comment protéger les données de l’entreprise ?

Face à ces cyber-menaces, le risque zéro n’existe pas : il s’agit d’évaluer les risques et d’investir en proportion. Il faut hiérarchiser ce qui doit être protégé, en multipliant les barrages et en répliquant les données critiques en un lieu sûr.

Certaines solutions permettent de créer des zones ouvertes et d’autres protégées avec des clés d’accès différentes :

  • les réseaux ou tunnels virtuels dits VPN (Virtual Private Network) : les données y sont chiffrées à l’entrée et la sortie.
  • les serveurs d’applications web, ouverts à l’extérieur, sont placés dans des zones « démilitarisées » (DMZ), isolées du reste du réseau de l’entreprise par des pare-feu.
  • utiliser un Reverse proxy qui, vu de l’extérieur, limite la visibilité à l’adresse du site web.

Pour une entreprise de certaine taille, il est recommandé de mettre en place au moins trois lignes de défense du réseau :

  1. Les collaborateurs qui détiennent les clés d’accès doivent être responsabilisées. On préconise des clés hautement sécurisées (dites RSA, écrites sur au moins 1024 bits, et non pas 256 bits, comme couramment).
  2. Les logiciels reçus après un téléchargement issus d’un éditeur non identifié doivent être ouverts dans un bac à sable (sandbox) qui vérifie qu’ils ne recèlent pas de malware. La plupart des anti-virus font ce nettoyage, mais certains utilisateurs ne prennent pas suffisamment de précautions.
  3. Un dispositif proxy dédié peut permettre de filtrer les sites web suspects. Et un dispositif IPS (Intrusion prevention system) analyse le trafic entrant et bloque les attaques signalées dans une « base de signatures » partagées par les éditeurs d’antivirus.

Un regard extérieur

Pour une structure de taille importante ou particulièrement sensible, il convient de procéder régulièrement à un audit externe : par des tests d’intrusion, on vérifie la robustesse des lignes de défense et la conformité avec la réglementation.

Aussi paradoxal que cela puisse paraître, la sécurité peut être externalisée. Certaines sociétés, dûment certifiées, se sont spécialisées dans la surveillance des détenteurs de privilèges d’accès et dans la prévention. Et, pour des activités exposées à l’espionnage industriel, de façon proactive, elles collectent en permanence des données sur les menaces persistantes dites APT (advanced persistent threats).

Car en sécurité comme en santé, mieux vaut prévenir que guérir.

Ils l’ont dit

Guillaume Poupard, DG de l’Agence nationale ANSSI :

On sait contrer les risques, mais il faut engager un effort important avant d’y arriver, se préparer au pire pour qu’il ne se produise pas.

Mathieu Poujol, Principal Consultant, cabinet PAC :

La Cyber Sécurité est un catalyseur critique de la transformation digitale, ce qui a été parfaitement compris par le gouvernement français avec la LPM (Loi de Programmation Militaire), mais aussi par l’Union européenne avec les Directives NIS et GDPR, qui seront obligatoires d’ici à deux ans.

En chiffres

  • Le marché de la cyber-sécurité en France devrait enregistrer une croissance supérieure à 10 % en 2016. C’est l’un des plus dynamiques en Europe (cabinet PAC).

Le marché mondial des logiciels de sécurité a atteint 22,1 milliards de dollars, en hausse de 3,7 % en 2015 (Cabinet Gartner, 09/2016)

Pour aller plus loin

Vous souhaitez améliorer vos connaissances ?