L’Office fédéral de la communication (Ofcom), l’autorité régulatrice des télécommunications au Royaume-Uni (TV, radio, télécoms, mobiles, services postaux…), l’équivalent de l’Arcep et du CSA réunis, fait actuellement face à la plus grande fuite de données de son histoire : un ancien employé a offert un énorme volume d’informations potentiellement sensibles concernant les sociétés de télévision à son nouvel employeur, un diffuseur majeur, dont le nom n’a pas été révélé.
Un porte-parole d’Ofcom a indiqué que l’organisation s’était aperçue de cette fuite le 26 février, et avait prévenu les sociétés de télévision concernées. Il semblerait qu’Ofcom ait été averti par des dirigeants haut placés du diffuseur lui-même, qui n’aurait pas exploité les informations volées, l’équivalent de 6 années de données croit savoir le Guardian.
Les employés ont accès à beaucoup plus d’informations que nécessaires
Norman Girard, vice-président et directeur général Europe de Varonis, ne s’étonne pas qu’un salarié ait pu s’emparer de ces données : « Un grand nombre de vols de données sont dus aux employés, malveillants ou non. La plupart des employés ont en effet accès à beaucoup plus d’informations que celles dont ils ont réellement besoin pour faire leur travail et ce qu’ils font de ces données n’est pas surveillé ou analysé pour détecter un potentiel comportement malveillant. » Il souligne que « cela est encore plus vrai pour les données non structurées – le type de données que les entreprises possèdent le plus, qui augmente le plus fortement et qui contient souvent des informations relatives à la propriété intellectuelle d’une entreprise, des dossiers financiers, et bien d’autres contenus importants. Les employés peuvent ainsi accéder et s’approprier des informations très sensibles, souvent sans que personne ne le sache. » Même son de cloche chez Tewfik Megherbi, consultant avant-vente de F5 Network : « Cette fuite de données a eu lieu car un employé indélicat a abusé des privilèges d’accès que lui avait accordé son organisation. Si cela a pu se produire, c’est que cette personne avait, vraisemblablement, un accès privilégié à des données sensibles sans que personne ne puisse contrôler à la fois les données et l’accès à ces données. »
Comment éviter ce type de fuite ?
Pour Norman Girard « les entreprises doivent faire un travail de suivi et d’analyse de la façon dont les salariés utilisent les données, de profilage des rôles et des comportements, de cartographie et de limitation des accès, et enfin d’audit des données sensibles afin de les verrouiller ou de les déplacer hors de portée. » Face à ces dérives, deux règles de base de la sécurité prévalent et doivent être mises en œuvre, rappelle Tewfik Megherbi : « Ce sont les principes de moindre privilèges et de séparation des tâches ». Mais si ces protections peuvent limiter l’impact d’une exfiltration de données orchestrée par un employé légitime, elles ne peuvent pas complètement l’éviter. « On est dans l’humain et il est difficile de tout contrôler quand celui-ci à l’intention de détourner des données pour plusieurs raisons telles que la vengeance, son propre profit, pour un concurrent ou pour l’éthique par exemple ». Et de rappeler que l’affaire Snowden est un bon exemple de ce dernier point.
Un stockage dans le Cloud, plus sûr ?
Joël Mollo, directeur EMEA de Skyhigh Networks, prône, lui, le stockage des données sensibles dans le Cloud. « Aussi paradoxal que cela puisse paraître, stocker ses données sensibles dans le Cloud pourrait être demain l’une des meilleures approches quant à la protection face à ce type de fuite massive de données », soutient-il. « Grâce aux solutions de sécurité des données dans les applications Cloud (les Cloud Access Security Broker ou CASB), il est possible de sécuriser les données, avant envoi dans le Cloud, de contrôler très finement et granulairement leur accessibilité, définissant des seuils normaux et des comportements à risque. » Et d’indiquer que l’on peut aller jusqu’à implémenter « des politiques de DLP (Data Loss Prevention), évitant toute exfiltration massive d’informations, dès lors qu’elles sont stockées et contrôlées dans le Cloud via les services du CASB ». Et de préciser que grâce à un « système intelligent de type UEBA (User and Entity Behavior Analytics), doté d’auto-apprentissage, il est possible de détecter toute anomalie comportementale en temps réel, permettant ainsi des prises d’actions immédiates pour rémédiation. »
